Arbeitsstationen mit privilegiertem ZugriffPrivileged Access Workstations

Gilt für: Windows ServerApplies To: Windows Server

Arbeitsstationen mit privilegiertem Zugriff (Privileged Access Workstations, PAWs) stellen ein dediziertes Betriebssystem für sensible Aufgaben bereit, das vor Angriffen aus dem Internet und der Übertragung von Bedrohungen geschützt ist.Privileged Access Workstations (PAWs) provide a dedicated operating system for sensitive tasks that is protected from Internet attacks and threat vectors. Die Trennung dieser sensiblen Aufgaben und Konten von den täglichen Arbeitsstationen und Geräten bietet einen sehr starken Schutz vor Phishingangriffen, Sicherheitsrisiken für Anwendungen und Betriebssysteme, verschiedenen Identitätswechsel Angriffen und Angriffen durch Diebstahl von Anmelde Informationen, wie z. b. Tastatureingaben Protokollierung, Pass-the-Hashund Pass-The-Ticket.Separating these sensitive tasks and accounts from the daily use workstations and devices provides very strong protection from phishing attacks, application and OS vulnerabilities, various impersonation attacks, and credential theft attacks such as keystroke logging, Pass-the-Hash, and Pass-The-Ticket.

Was ist eine Arbeitsstation mit privilegiertem Zugriff?What is a Privileged Access Workstation?

Einfach gesagt ist eine Arbeitsstation mit privilegiertem Zugriff (Privileged Access Workstation, PAW) eine gesicherte und gesperrte Arbeitsstation, die ein Höchstmaß an Sicherheit für sensible Konten und Aufgaben bietet.In simplest terms, a PAW is a hardened and locked down workstation designed to provide high security assurances for sensitive accounts and tasks. PAWs empfehlen sich für die Verwaltung von Identitätssystemen, Clouddiensten und privaten Cloudfabrics ebenso wie für vertrauliche Geschäftsfunktionen.PAWs are recommended for administration of identity systems, cloud services, and private cloud fabric as well as sensitive business functions.

Hinweis

Die PAW-Architektur erfordert keine 1:1-Zuordnung von Konten zu Arbeitsstation, obwohl dies eine häufige Konfiguration ist.The PAW architecture doesn't require a 1:1 mapping of accounts to workstations, though this is a common configuration. Mit einer PAW wird eine vertrauenswürdige Arbeitsstationsumgebung erstellt, die von einem oder mehreren Konten verwendet werden kann.PAW creates a trusted workstation environment that can be used by one or more accounts.

Um die höchste Sicherheit zu gewährleisten, sollten die Pfoten immer das aktuellste und sicherste Betriebssystem ausführen: Microsoft empfiehlt dringend Windows 10 Enterprise, das in anderen Editionen (insbesondere Credential Guard und Device Guard) einige zusätzliche Sicherheitsfeatures umfasst.In order to provide the greatest security, PAWs should always run the most up-to-date and secure operating system available: Microsoft strongly recommends Windows 10 Enterprise, which includes several additional security features not available in other editions (in particular, Credential Guard and Device Guard).

Hinweis

Organisationen, in denen Windows 10 nicht zur Verfügung steht, können Windows 10 Pro verwenden. Diese Edition enthält viele der wichtigen grundlegenden Technologien für PAWs, wie z.B. vertrauenswürdiger Start, BitLocker und Remotedesktop.Organizations without access to Windows 10 Enterprise can use Windows 10 Pro, which includes many of the critical foundational technologies for PAWs, including Trusted Boot, BitLocker, and Remote Desktop. Kunden im Bildungswesen können Windows 10 Education verwenden.Education customers can use Windows 10 Education. Windows 10 Home sollte für eine PAW nicht verwendet werden.Windows 10 Home should not be used for a PAW.

Eine Vergleichsmatrix der verschiedenen Editionen von Windows 10 finden Sie in diesem Artikel.For a comparison matrix of the different editions of Windows 10, read this article.

Die sicherheitstokensicherheitssteuerelemente sind darauf ausgerichtet, hohe Auswirkungen und hohe Wahrscheinlichkeits Risiken durch Gefährdung zu mindern.The PAW security controls are focused on mitigating high impact and high probability risks of compromise. Dazu zählen die Entschärfung von Angriffen auf die Umgebung und Risiken, die die Effektivität von Steuerelementen im zeitlichen Verlauf verringern können:These include mitigating attacks on the environment and risks that can decrease the effectiveness of PAW controls over time:

  • Angriffe aus dem Internet: Die meisten Angriffe stammen direkt oder indirekt aus Internetquellen und nutzen das Internet zum Datendiebstahl und für C2-Angriffe (Command and Control).Internet attacks - Most attacks originate directly or indirectly from internet sources and use the internet for exfiltration and command and control (C2). Die Isolierung der PAW vom Internet ist ein wesentliches Element, um sicherzustellen, dass die PAW nicht gefährdet wird.Isolating the PAW from the open internet is a key element to ensuring the PAW is not compromised.
  • Einsatzfähigkeit: Wenn eine PAW zu kompliziert und schwierig zu verwenden ist, sind Administratoren wahrscheinlich geneigt, sich Problemumgehungen auszudenken, um ihre Arbeit zu erleichtern.Usability risk - If a PAW is too difficult to use for daily tasks, administrators will be motivated to create workarounds to make their jobs easier. Solche Problemumgehungen führen häufig dazu, dass die Arbeitsstationen für Administratoren und die Administratorkonten erheblichen Sicherheitsrisiken ausgesetzt werden. Daher ist es von entscheidender Bedeutung, die PAW-Benutzer einzubeziehen und zu schulen, um solche Probleme bei der Verwendung sicher zu minimieren.Frequently, these workarounds open the administrative workstation and accounts to significant security risks, so it's critical to involve and empower the PAW users to mitigate these usability issues securely. Dies kann erreicht werden, indem Sie Ihr Feedback überwachen, Tools und Skripts installieren, die zum Ausführen ihrer Aufgaben erforderlich sind, und sicherstellen, dass alle administrativen Mitarbeiter wissen, warum Sie eine PW verwenden müssen, was eine PW ist und wie Sie diese ordnungsgemäß und erfolgreich verwenden können.This can be accomplished by listening to their feedback, installing tools and scripts required to perform their jobs, and ensuring all administrative personnel are aware of why they need to use a PAW, what a PAW is, and how to use it correctly and successfully.
  • Risiken durch die Umgebung: Da viele andere Computer und Konten in einer Umgebung direkt oder indirekt Risiken durch das Internet ausgesetzt sind, muss eine PAW vor Angriffen von kompromittierte Assets in der Produktionsumgebung geschützt werden.Environment risks - Because many other computers and accounts in the environment are exposed to internet risk directory or indirectly, a PAW must be protected against attacks from compromised assets in the production environment. Dies erfordert die Minimierung der Verwendung von Verwaltungs Tools und Konten, die Zugriff auf die Pfoten haben, um diese spezialisierten Arbeitsstationen zu sichern und zu überwachen.This requires minimizing the use of management tools and accounts that have access to the PAWs to secure and monitor these specialized workstations.
  • Manipulationen aus der Lieferkette: Es ist unmöglich, sämtliche möglichen Manipulationsrisiken aus der Lieferkette für Hardware und Software zu entfernen. Allerdings lassen sich kritische Angriffsvektoren, die potenziellen Angreifern problemlos zur Verfügung stehen, mit einigen entscheidenden Aktionen erheblich minimieren.Supply chain tampering - While it's impossible to remove all possible risks of tampering in the supply chain for hardware and software, taking a few key actions can mitigate critical attack vectors that are readily available to attackers. Hierzu gehört die Überprüfung sämtlicher Installationsmedien (Prinzip der vertrauenswürdigen Quelle) und die Zusammenarbeit mit einem vertrauenswürdigen und seriösen Lieferanten für Hardware und Software.This includes validating the integrity of all installation media (Clean Source Principle) and using a trusted and reputable supplier for hardware and software.
  • Physische Angriffe: Das PAWs mobil sein und außerhalb der physisch gesicherten Umgebung verwendet werden können, müssen sie vor Angriffen geschützt werden, die sich einen nicht autorisierten physischen Zugriff auf den Computer zunutze machen.Physical attacks - Because PAWs can be physically mobile and used outside of physically secure facilities, they must be protected against attacks that leverage unauthorized physical access to the computer.

Hinweis

Eine PAW kann eine Umgebung nicht vor einem Angreifer schützen, der bereits administrativen Zugriff über eine Active Directory-Gesamtstruktur erhalten hat.A PAW will not protect an environment from an adversary that has already gained administrative access over an Active Directory Forest. Da viele vorhandene Implementierungen der Active Directory Domain Services seit Jahren mit dem Risiko des Diebstahls von Anmeldeinformationen betrieben werden, müssen Organisationen von einer Sicherheitslücke ausgehen und die Möglichkeit in Betracht ziehen, dass die eine bisher unerkannte Gefährdung der Anmeldeinformationen eines Domänen- oder Unternehmensadministrators besteht.Because many existing implementations of Active Directory Domain Services have been operating for years at risk of credential theft, organizations should assume breach and consider the possibility that they may have an undetected compromise of domain or enterprise administrator credentials. Eine Organisation, die eine Gefährdung ihrer Domäne vermutet, sollte den Einsatz von Expertendiensten zur Behebung von Incidents erwägen.An organization that suspects domain compromise should consider the use of professional incident response services.

Weitere Informationen zur Reaktion auf und Wiederherstellung nach Incidents finden Sie im Whitepaper Mitigating Pass-the-Hash and Other Credential Theft, Version 2 (Minimieren von Pass-the-Hash-Vorfällen und anderen Methoden des Anmeldeinformationsdiebstahls), in den Abschnitten zur Reaktion auf verdächtige Aktivitäten und zur Wiederherstellung nach einem Sicherheitsvorfall.For more information on response and recovery guidance, see the "Respond to suspicious activity" and "Recover from a breach" sections of Mitigating Pass-the-Hash and Other Credential Theft, version 2.

Weitere Informationen finden Sie auf der Microsoft-Seite zur Reaktion auf und Wiederherstellung nach Incidents.Visit Microsoft's Incident Response and Recovery services page for more information.

PW-Hardware ProfilePAW hardware profiles

Administratoren sind auch Standardbenutzer, und Sie benötigen eine PW und eine Standardbenutzer Arbeitsstation, um e-Mails zu prüfen, das Web zu durchsuchen und auf Unternehmensanwendungen zuzugreifen.Administrative personnel are standard users too - they need a PAW as well as a standard user workstation to check email, browse the web, and access corporate line of business applications. Für den Erfolg einer PAW-Bereitstellung ist es entscheidend, dass Administratoren sowohl sicher als auch produktiv arbeiten können.Ensuring that administrators can remain both productive and secure is essential to the success of any PAW deployment. Eine sichere Lösung, die die Produktivität massiv einschränkt, wird von den Benutzern abgelehnt. Stattdessen werden die Benutzer eine Lösung nutzen, die ihre Produktivität erweitert – auch wenn dies auf Kosten der Sicherheit geht.A secure solution that dramatically limits productivity will be abandoned by the users in favor of one that enhances productivity (even if it is done in an insecure manner).

Um für ein optimales Verhältnis zwischen Sicherheit und Produktivität zu sorgen, empfiehlt Microsoft die Verwendung eines der folgenden PAW-Hardwareprofile:In order to balance the need for security with the need for productivity, Microsoft recommends using one of these PAW hardware profiles:

  • Dedizierte Hardware : separate dedizierte Geräte für Benutzer Tasks und administrative Aufgaben.Dedicated hardware - Separate dedicated devices for user tasks vs. administrative tasks.
  • Gleichzeitige Verwendung: Ein einziges Gerät, auf dem mithilfe der Virtualisierung per Betriebssystem oder per Präsentation Benutzer- und Verwaltungsaufgaben gleichzeitig ausgeführt werden können.Simultaneous Use - Single device that can run user tasks and administrative tasks concurrently by taking advantage of OS or presentation virtualization.

Organisationen können nur eines der Profile oder beide verwenden.Organizations may use only one profile or both. Es bestehen keine Interoperabilitätsprobleme zwischen den Hardwareprofilen, und Organisationen können ein Hardwareprofil flexibel an die besonderen Anforderungen eines bestimmten Administrators anpassen.There are no interoperability concerns between the hardware profiles, and organizations have the flexibility to match the hardware profile to the specific need and situation of a given administrator.

Hinweis

Es ist von entscheidender Bedeutung, dass Administratoren in all diesen Szenarien ein Standardbenutzer Konto ausgestellt haben, das von den vorgesehenen Administrator Konten getrennt ist.It is critical that, in all these scenarios, administrative personnel are issued a standard user account that is separate from designated administrative account(s). Ein Administratorkonto sollte nur unter dem administrativen Betriebssystem der PAW verwendet werden.The administrative account(s) should only be used on the PAW administrative operating system.

Die folgende Tabelle bietet eine Übersicht über die jeweiligen Vor- und Nachteile der Hardwareprofile hinsichtlich der operativen Benutzerfreundlichkeit sowie der Produktivität und Sicherheit.This table summarizes the relative advantages and disadvantages of each hardware profile from the perspective of operational ease-of-use and productivity and security. Beide Ansätze bieten eine hohe Sicherheit und schützen Administratorkonten vor Diebstahl und Wiederverwendung von Anmeldeinformationen.Both hardware approaches provide strong security for administrative accounts against credential theft and reuse.

EnScenario ZügenAdvantages NachteileDisadvantages
Dedizierte HardwareDedicated hardware – Starkes Signal für die Vertraulichkeit von Aufgaben- Strong signal for sensitivity of tasks
– Strikteste Trennung zur Sicherheit- Strongest security separation
– Zusätzlicher Platzbedarf- Additional desk space
– Höheres Gewicht (bei Remotearbeit)- Additional weight (for remote work)
– Hardwarekosten- Hardware Cost
Gleichzeitige VerwendungSimultaneous use – Geringere Hardwarekosten- Lower hardware cost
– Nur ein Gerät erforderlich- Single device experience
– Gemeinsame Nutzung einer einzigen Tastatur und Maus erhöht das Risiko unbeabsichtigter Fehler und Risiken- Sharing single keyboard/mouse creates risk of inadvertent errors/risks

Dieser Leitfaden enthält detaillierte Anweisungen für die PAW-Konfiguration für den Ansatz mit dedizierter Hardware.This guidance contains the detailed instructions for the PAW configuration for the dedicated hardware approach. Wenn Sie Hardwareprofile für die gleichzeitige Verwendung benötigen, können Sie die Anweisungen in diesem Leitfaden selbst entsprechend anpassen oder einen professionellen Dienstleister wie z.B. Microsoft mit der Einrichtung beauftragen.If you have requirements for the simultaneous use hardware profiles, you can adapt the instructions based on this guidance yourself or hire a professional services organization like Microsoft to assist with it.

Dedizierte HardwareDedicated hardware

In diesem Szenario wird eine PAW für die Verwaltung verwendet, die vollständig von dem PC für tägliche Aktivitäten wie E-Mail, Dokumentbearbeitung und Entwicklung getrennt ist.In this scenario, a PAW is used for administration that is completely separate from the PC that is used for daily activities like email, document editing, and development work. Alle Verwaltungstools und -anwendungen werden auf der PAW installiert, alle Produktivitätsanwendungen auf der Standardarbeitsstation des Benutzers.All administrative tools and applications are installed on the PAW and all productivity applications are installed on the standard user workstation. Die Schrittanweisungen in diesem Leitfaden basieren auf diesem Hardwareprofil.The step by step instructions in this guidance are based on this hardware profile.

Gleichzeitige Verwendung: Hinzufügen einer lokalen Benutzer-VMSimultaneous use - Adding a local user VM

In diesem Szenario der gleichzeitigen Verwendung wird ein einziger PC sowohl für Verwaltungsaufgaben als auch für tägliche Aktivitäten wie E-Mail, Dokumentbearbeitung und Entwicklung eingesetzt.In this simultaneous use scenario, a single PC is used for both administration tasks and daily activities like email, document editing, and development work. In dieser Konfiguration ist das Betriebssystem des Benutzers auch offline verfügbar (zum Bearbeiten von Dokumenten und zum Arbeiten mit lokal zwischengespeicherten E-Mails), erfordert jedoch Hardware und Supportprozesse, die den Offlinezustand unterstützen.In this configuration, the user operating system is available while disconnected (for editing documents and working on locally cached email), but requires hardware and support processes that can accommodate this disconnected state.

Diagramm das zeigt, dass ein einziger PC in einem Szenario der gleichzeitigen Verwendung sowohl für Verwaltungsaufgaben als auch für tägliche Aktivitäten wie E-Mail, Dokumentbearbeitung und Entwicklung eingesetzt wird

Auf der physischen Hardware werden lokal zwei Betriebssysteme ausgeführt:The physical hardware runs two operating systems locally:

  • Administratorbetriebssystem: Auf dem physischen PAW-Host wird Windows 10 für Verwaltungsaufgaben ausgeführt.Admin OS - The physical host runs Windows 10 on the PAW host for Administrative tasks
  • Benutzerbetriebssystem: Auf einem virtuellen Hyper-V-Clientgastcomputer unter Windows 10 wird ein Unternehmensimage ausgeführt.User OS - A Windows 10 client Hyper-V virtual machine guest runs a corporate image

Mit Windows 10 Hyper-V kann ein virtueller Gastcomputer (auch unter Windows 10) über eine umfangreiche Benutzerversion verfügen, einschließlich Sound-, Video-und Internet Kommunikationsanwendungen wie Skype for Business.With Windows 10 Hyper-V, a guest virtual machine (also running Windows 10) can have a rich user experience including sound, video, and Internet communications applications such as Skype for Business.

In dieser Konfiguration werden tägliche Aufgaben, für die keine Administratorrechte erforderlich sind, auf dem virtuellen Computer mit dem Benutzerbetriebssystem ausgeführt, auf dem ein standardmäßiges Windows 10-Unternehmensimage installiert ist und das nicht den Einschränkungen unterliegt, die für den PAW-Host gelten.In this configuration, daily work that does not require administrative privileges is done in the user OS virtual machine which has a regular corporate Windows 10 image and is not subject to restrictions applied to the PAW host. Alle Verwaltungsaufgaben werden im Administratorbetriebssystem ausgeführt.All administrative work is done on the Admin OS.

Um dieses Setup zu konfigurieren, führen Sie die Schritte in dieser Anleitung für den PAW-Host aus, fügen Sie Hyper-V-Funktionen für Clients hinzu, erstellen Sie einen virtuellen Benutzercomputer, und installieren Sie dann ein Windows 10-Unternehmensimage auf dem virtuellen Benutzercomputer.To configure this, follow the instructions in this guidance for the PAW host, add Client Hyper-V features, create a User VM, and then install a Windows 10 corporate image on the User VM.

Lesen Sie den Artikel Hyper-V für Clients, um weitere Informationen zu dieser Funktion zu erhalten.Read Client Hyper-V article for more information about this capability. Beachten Sie, dass das Betriebssystem auf virtuellen Gastcomputern gemäß der Microsoft-Produktlizenzierung lizenziert werden muss, die auch hier beschrieben wird.Please note that the operating system in guest virtual machines will need to be licensed per Microsoft product licensing, also described here.

Gleichzeitige Verwendung: Hinzufügen von RemoteApp, RDP oder VDISimultaneous use - Adding RemoteApp, RDP, or a VDI

In diesem Szenario der gleichzeitigen Verwendung wird ein einziger PC sowohl für Verwaltungsaufgaben als auch für tägliche Aktivitäten wie E-Mail, Dokumentbearbeitung und Entwicklung eingesetzt.In this simultaneous use scenario, a single PC is used for both administration tasks and daily activities like email, document editing and development work. In dieser Konfiguration werden die Benutzerbetriebssysteme zentral bereitgestellt und verwaltet (in der Cloud oder im Rechenzentrum), sind aber offline nicht verfügbar.In this configuration, the user operating systems are deployed and managed centrally (on the cloud or in your datacenter), but aren't available while disconnected.

Abbildung die zeigt, dass ein einziger PC in einem Szenario der gleichzeitigen Verwendung sowohl für Verwaltungsaufgaben als auch für tägliche Aktivitäten wie E-Mail, Dokumentbearbeitung und Entwicklung eingesetzt wird

Auf der physischen Hardware wird lokal ein einzelnes PAW-Betriebssystem für Verwaltungsaufgaben ausgeführt. Für Benutzeranwendungen wie E-Mail, Dokumentbearbeitung und Branchensoftware ist die Kontaktaufnahme mit einem Remotedesktopdienst von Microsoft oder einem Drittanbieter erforderlich.The physical hardware runs a single PAW operating system locally for administrative tasks and contacts a Microsoft or 3rd party remote desktop service for user applications such as email, document editing, and line of business applications.

In dieser Konfiguration werden tägliche Aufgaben, für die keine Administratorrechte erforderlich sind, in den Remotebetriebssystemen und -anwendungen ausgeführt, die nicht den Einschränkungen unterliegen, die für den PAW-Host gelten.In this configuration, daily work that does not require administrative privileges is done in the Remote OS(es) and applications which are not subject to restrictions applied to the PAW host. Alle Verwaltungsaufgaben werden im Administratorbetriebssystem ausgeführt.All administrative work is done on the Admin OS.

Befolgen Sie für diese Konfiguration die Anweisungen im vorliegenden Leitfaden für den PAW-Host, aktivieren Sie eine Netzwerkverbindung zu den Remotedesktopdiensten, und fügen Sie dann Verknüpfungen zum Benutzerdesktop der PAW hinzu, um den Zugriff auf die Anwendungen zu ermöglichen.To configure this, follow the instructions in this guidance for the PAW host, allow network connectivity to the Remote Desktop services, and then add shortcuts to the PAW user's desktop to access the applications. Die Remotedesktopdienste können auf verschiedene Weise gehostet werden. Hier einige Beispiele:The remote desktop services could be hosted in many ways including:

  • Als vorhandener Remotedesktop- oder VDI-Dienst (lokal oder in der Cloud)An existing Remote Desktop or VDI service (on-premises or in the cloud)
  • Als neuer Dienst, den Sie lokal oder in der Cloud installierenA new service you install on-premises or in the cloud
  • Azure RemoteApp unter Verwendung vorkonfigurierter Office 365-Vorlagen oder Ihrer eigenen InstallationsimagesAzure RemoteApp using pre-configured Office 365 templates or your own installation images

Weitere Informationen zu Azure RemoteApp finden Sie auf dieser Seite.For more information on Azure RemoteApp, visit this page.

Verwendung administrativer Arbeitsstationen durch MicrosoftHow Microsoft is using administrative workstations

Microsoft verwendet PAW-Architekturen sowohl für die eigenen internen Systeme als auch für Kundensysteme.Microsoft uses the PAW architectural approach both internally on our systems as well as with our customers. Microsoft verwendet administrative Arbeitsstationen intern in verschiedenen Kapazitäten, einschließlich der Verwaltung der IT-Infrastruktur von Microsoft, der Entwicklung und des Betriebs von Microsoft Cloud Fabric-Infrastrukturen und anderer hochwertiger Ressourcen.Microsoft uses administrative workstations internally in several capacities including administration of Microsoft IT infrastructure, Microsoft cloud fabric infrastructure development and operations, and other high value assets.

Dieser Leitfaden basiert direkt auf der PAW-Referenzarchitektur, die von unseren Expertenteams für Cybersicherheit bereitgestellt wurde, um Kunden vor Cyberangriffen zu schützen.This guidance is directly based on the Privileged Access Workstation (PAW) reference architecture deployed by our cybersecurity professional services teams to protect customers against cybersecurity attacks. Die Arbeitsstationen für Administratoren sind auch ein wichtiges Element der stärksten Schutzfunktion für Aufgaben der Domänenverwaltung: der ESAE-Referenzarchitektur für Verwaltungsgesamtstrukturen (Enhanced Security Administrative Environment).The administrative workstations are also a key element of the strongest protection for domain administration tasks, the Enhanced Security Administrative Environment (ESAE) administrative forest reference architecture.

Weitere Informationen zur ESAE-Verwaltungs Gesamtstruktur finden Sie im Abschnitt Entwurfs Ansatz der ESAE-Verwaltungs Gesamtstruktur unter Sichern des Zugriffs auf den privilegierten Zugriff.For more details on the ESAE administrative forest, see the ESAE Administrative Forest Design Approach section in Securing Privileged Access Reference Material.

Übersicht über die ArchitekturArchitecture overview

Das Diagramm unten zeigt einen separaten „Kanal“ für die Verwaltung (eine höchst sensible Aufgabe), der durch Einrichten getrennter dedizierter Konten und Arbeitsstationen für die Verwaltung entsteht.The diagram below depicts a separate "channel" for administration (a highly sensitive task) that is created by maintaining separate dedicated administrative accounts and workstations.

Diagramm, das einen separaten „Kanal“ für die Verwaltung (eine höchst sensible Aufgabe) zeigt, der durch Einrichten getrennter dedizierter Konten und Arbeitsstationen für die Verwaltung entsteht

Diese Architektur basiert auf den Schutzmaßnahmen der Windows 10-Funktionen Credential Guard und Device Guard und geht für sensible Konten und Aufgaben weit über diese Maßnahmen hinaus.This architectural approach builds on the protections found in the Windows 10 Credential Guard and Device Guard features and goes beyond those protections for sensitive accounts and tasks.

Diese Methode eignet sich für Konten mit Zugriff auf hochwertige Assets:This methodology is appropriate for accounts with access to high value assets:

  • Administratorrechte : die Pfoten bieten höhere Sicherheit für IT-Administrator Rollen und-Aufgaben mit hohem Einfluss.Administrative Privileges - PAWs provide increased security for high impact IT administrative roles and tasks. Diese Architektur kann auf viele Arten von Systemen angewendet werden, wie z.B.: Active Directory-Domänen und -Gesamtstrukturen, Microsoft Azure Active Directory-Mandanten, Office 365-Mandanten, Prozesssteuerungsnetzwerke (Process Control Networks, PCNs), SCADA-Systeme (Supervisory Control and Data Acquisition), Geldautomaten und Verkaufsstellengeräte (Point of Sale, PoS).This architecture can be applied to administration of many types of systems including Active Directory Domains and Forests, Microsoft Azure Active Directory tenants, Office 365 tenants, Process Control Networks (PCN), Supervisory Control and Data Acquisition (SCADA) systems, Automated Teller Machines (ATMs), and Point of Sale (PoS) devices.

  • Hohe Vertraulichkeit von Information-Workern : der in einer PW verwendete Ansatz kann auch Schutz für hochvertrauliche Information-Worker-Aufgaben und-Mitarbeiter bereitstellen, wie z. b. solche, die eine Fusion-und Erwerbs Aktivität vor der Ankündigung beinhalten Berichte, Präsenz in sozialen Medien in Unternehmen, Executive Communications, nicht patentierte Handels Geheimnisse, sensible Recherchen oder andere proprietäre oder vertrauliche Daten.High Sensitivity Information workers - The approach used in a PAW can also provide protection for highly sensitive information worker tasks and personnel such as those involving pre-announcement Merger and Acquisition activity, pre-release financial reports, organizational social media presence, executive communications, unpatented trade secrets, sensitive research, or other proprietary or sensitive data. Der vorliegende Leitfaden erläutert nicht die detaillierte Konfiguration solcher Information Worker-Szenarien, auch wird das Szenario nicht in den technischen Anweisungen behandelt.This guidance does not discuss the configuration of these information worker scenarios in depth or include this scenario in the technical instructions.

    Hinweis

    Die Microsoft-IT-Abteilung verwendet PAWs (die intern als „Sichere Arbeitsstationen für Administratoren“ [Secure Admin Workstations, SAWs] bezeichnet werden), um den sicheren Zugriff auf diese wertvollen Microsoft-internen Systeme zu verwalten.Microsoft IT uses PAWs (internally referred to as "secure admin workstations", or SAWs) to manage secure access to internal high-value systems within Microsoft. Im Abschnitt „Verwendung von Arbeitsstationen für Administratoren bei Microsoft“ finden Sie weitere Informationen dazu, wie Microsoft PAWs einsetzt.This guidance has additional details below on PAW usage at Microsoft in the section "How Microsoft uses admin workstations". Ausführlichere Informationen zu diesem Ansatz für eine Umgebung mit höchst wertvollen Assets finden Sie im Artikel Schützen von wertvollen Assets mit sicheren Arbeitsstationen für Administratoren.For more detailed information on this high value asset environment approach, please refer to the article, Protecting high-value assets with secure admin workstations.

Das vorliegende Dokument erläutert, warum diese Vorgehensweise zum Schutz von privilegierten Konten mit weitreichenden Berechtigungen empfohlen wird, wie diese PAW-Lösungen zum Schutz von Administratorrechten aussehen und wie Sie schnell eine PAW-Lösung für die Verwaltung von Domänen- und Clouddiensten bereitstellen.This document will describe why this practice is recommended for protecting high impact privileged accounts, what these PAW solutions look like for protecting administrative privileges, and how to quickly deploy a PAW solution for domain and cloud services administration.

Dieses Dokument beschreibt zudem genau, wie verschiedene PAW-Konfigurationen implementiert werden, und bietet detaillierte Implementierungsanweisungen, damit Sie mit dem Schutz Ihrer Konten mit weitreichenden Berechtigungen beginnen können:This document provides detailed guidance for implementing several PAW configurations and includes detailed implementation instructions to get you started on protecting common high impact accounts:

Gründe für dedizierte ArbeitsstationenWhy dedicated workstations?

In der heutigen Zeit sehen sich Organisationen immer mehr Bedrohungen durch ausgefeilte Phishingmethoden und andere Internetangriffe gegenüber, die ein kontinuierliches Sicherheitsrisiko für Konten und Arbeitsstationen mit Internetzugriff darstellen.The current threat environment for organizations is rife with sophisticated phishing and other internet attacks that create continuous risk of security compromise for internet exposed accounts and workstations.

Diese Bedrohungsumgebung setzt voraus, dass Unternehmen beim Entwerfen von Schutzmaßnahmen für hochwertige Assets wie Administrator Konten und vertrauliche Geschäftsressourcen eine Sicherheits Situation mit dem Status "Sicherheitsverletzung annehmen" anwenden.This threat environment requires organizations to adopt an "assume breach" security posture when designing protections for high value assets like administrative accounts and sensitive business assets. Diese wertvollen Assets müssen sowohl vor Bedrohungen aus dem Internet als auch vor Angriffen geschützt werden, die über andere Arbeitsstationen, Server und Geräte in der Umgebung erfolgen.These high value assets need to be protected against both direct internet threats as well as attacks mounted from other workstations, servers, and devices in the environment.

Diese Abbildung zeigt das Risiko für verwaltete Assets, wenn ein Angreifer die Kontrolle über eine Benutzerarbeitsstation erhält, auf der vertrauliche Anmeldeinformationen verwendet werden

Diese Abbildung zeigt das Risiko für verwaltete Assets, wenn ein Angreifer die Kontrolle über eine Benutzerarbeitsstation erhält, auf der vertrauliche Anmeldeinformationen verwendet werden.This figure depicts risk to managed assets if an attacker gains control of a user workstation where sensitive credentials are used.

Einem Angreifer, der die Kontrolle über ein Betriebssystem hat, stehen unzählige Möglichkeiten offen, unerlaubt Zugriff auf alle Aktivitäten auf der Arbeitsstation zu erhalten und die Identität des legitimen Kontos zu vorzutäuschen.An attacker in control of an operating system has numerous ways in which to illicitly gain access to all activity on the workstation and impersonate the legitimate account. Es gibt zahlreiche bekannte und noch nicht bekannte Angriffstechniken, mit denen ein Angreifer sich ein solches Maß an Zugriff verschaffen kann.A variety of known and unknown attack techniques can be used to gain this level of access. Da Cyberangriffe immer zahlreicher und ausgefeilter werden, muss das Konzept der Trennung erweitert werden: Clientbetriebssysteme für sensible Konten müssen vollständig von der restlichen Umgebung getrennt werden.The increasing volume and sophistication of cyberattacks have made it necessary to extend that separation concept to completely separate client operating systems for sensitive accounts. Weitere Details zu diesen Arten von Angriffen finden Sie auf der Website zu Pass-the-Hash mit Whitepapers, Videos und vielen weiteren Informationen.For more information on these types of attacks, please visit the Pass The Hash web site for informative white papers, videos and more.

Der PAW-Ansatz ist eine Erweiterung der empfohlenen und bereits gut etablierten Praxis, für Administratoren getrennte Administrator- und Benutzerkonten zu verwenden.The PAW approach is an extension of the well-established recommended practice to use separate admin and user accounts for administrative personnel. Hier kommt ein individuell zugewiesenes Administratorkonto zum Einsatz, das vollständig vom Standardbenutzerkonto des Benutzers getrennt ist.This practice uses an individually assigned administrative account that is completely separate from the user's standard user account. PAWs bauen auf dieser Praxis auf, indem sie für solche sensiblen Konten eine vertrauenswürdige Arbeitsstation bereitstellen.PAW builds on that account separation practice by providing a trustworthy workstation for those sensitive accounts.

Der vorliegende Leitfaden zu Arbeitsstationen mit privilegiertem Zugriff unterstützt Sie dabei, diese Funktionalität zu implementieren, um wertvolle Konten wie z.B. IT-Administratorkonten mit hoher Berechtigungsstufe und hochsensible Geschäftskonten zu schützen.This PAW guidance is intended to help you implement this capability for protecting high value accounts such as high-privileged IT administrators and high sensitivity business accounts. Der Leitfaden unterstützt Sie bei Folgendem:The guidance helps you:

  • Einschränken der Offenlegung von Anmeldeinformationen auf vertrauenswürdige Hosts.Restrict exposure of credentials to only trusted hosts
  • Bereitstellen einer Arbeitsstation mit höchster Sicherheit für Administratoren, damit diese ihre Verwaltungsaufgaben problemlos und sicher ausführen können.Provide a high-security workstation to administrators so they can easily perform administrative tasks.

Indem Sie sicherstellen, dass sensible Konten ausschließlich auf gesicherten PAWs verwendet werden, bieten Sie diesen Konten eine solide Schutzmaßnahme, die sowohl die Nutzung durch Administratoren als auch die Verteidigung gegen Angriffe vereinfacht.Restricting the sensitive accounts to using only hardened PAWs is a straightforward protection for these accounts that is both highly usable for administrators and very difficult for an adversary to defeat.

Alternative AnsätzeAlternate approaches

Dieser Abschnitt enthält Informationen zur Sicherheit alternativer Ansätze im Vergleich zu PAWs und beschreibt, wie solche Ansätze richtig in eine PAW-Architektur integriert werden.This section contains information on how the security of alternate approaches compares to PAW and how to correctly integrate these approaches within a PAW architecture. Alle diese Ansätze sind bei der Isolation in der Isolation mit erheblichen Risiken verbunden, können aber in einigen Szenarios einen Wert für eine-Implementierung von PW hinzufügen.all these approaches carry significant risks when implemented in isolation, but can add value to a PAW implementation in some scenarios.

Credential Guard und Windows Hello for BusinessCredential Guard and Windows Hello for Business

Credential Guard wurde in Windows 10 eingeführt und verwendet hardware- und virtualisierungsbasierte Sicherheitsmechanismen, um häufige Methoden des Anmeldeinformationsdiebstahls, wie Pass-the-Hash, durch Schützen der abgeleiteten Anmeldeinformationen zu minimieren.Introduced in Windows 10, Credential Guard uses hardware and virtualization-based security to mitigate common credential theft attacks, such as Pass-the-Hash, by protecting the derived credentials. Der private Schlüssel für die von Windows Hello for Business verwendeten Anmelde Informationen kann auch durch Trusted Platform Module Hardware (TPM) geschützt werden.The private key for credentials used by Windows Hello for Business can be also be protected by Trusted Platform Module (TPM) hardware.

Dabei handelt es sich um leistungsstarke entschärfungen, aber Arbeitsstationen können weiterhin anfällig für bestimmte Angriffe sein, auch wenn die Anmelde Informationen durch Credential Guard oder Windows Hello for Business geschützt sind.These are powerful mitigations, but workstations can still be vulnerable to certain attacks even if the credentials are protected by Credential Guard or Windows Hello for Business. Angriffe können das missbrauchen von Berechtigungen und die Verwendung von Anmelde Informationen direkt von einem kompromittierten Gerät, das wieder verwenden zuvor gestohlener Anmelde Informationen vor dem Aktivieren von Credential Guard und den Missbrauch von Verwaltungs Tools und schwache Anwendungs Konfigurationen auf der Arbeitsstation einschließen.Attacks can include abusing privileges and use of credentials directly from a compromised device, reusing previously stolen credentials prior to enabling Credential Guard and abuse of management tools and weak application configurations on the workstation.

Die Anleitungen für PAWs in diesem Abschnitt umfassen den Einsatz einer Vielzahl dieser Technologien für hochsensible Konten und Aufgaben.The PAW guidance in this section includes the use of many of these technologies for high sensitivity accounts and tasks.

Virtueller VerwaltungscomputerAdministrative VM

Ein administrativer virtueller Computer (admin VM) ist ein dediziertes Betriebssystem für administrative Aufgaben, die auf einem Standardbenutzer Desktop gehostet werden.An administrative virtual machine (Admin VM) is a dedicated operating system for administrative tasks hosted on a standard user desktop. Dieser Ansatz ähnelt der Verwendung einer PAW zwar in der Hinsicht, dass ein dediziertes Betriebssystem für administrative Aufgaben bereitgestellt wird, weist jedoch eine bedenkliche Schwachstelle auf: Die Sicherheit des virtuellen Verwaltungscomputers ist vom Standardbenutzerdesktop abhängig.While this approach is similar to PAW in providing a dedicated OS for administrative tasks, it has a fatal flaw in that the administrative VM is dependent on the standard user desktop for its security.

Das Diagramm unten veranschaulicht, wie ein Angreifer über einen virtuellen Verwaltungscomputer auf einer Benutzerarbeitsstation der Kontrollkette zum Zielobjekt folgen kann. Es zeigt auch, dass dies in der umgekehrten Konfiguration nahezu unmöglich ist.The diagram below depicts the ability of attackers to follow the control chain to the target object of interest with an Admin VM on a User Workstation and that it is difficult to create a path on the reverse configuration.

Die Architektur des virtuellen Computers ermöglicht nicht das Hosten einer virtuellen Administrator-VM auf einer Benutzer Arbeitsstation, aber eine Benutzer-VM mit einem Standard Image des Unternehmens kann auf einer admin-.The PAW architecture does not allow for hosting an Admin VM on a User Workstation, but a User VM with a standard corporate image can be hosted on an Admin PAW to provide personnel with a single PC for all responsibilities.

Diagramm der PAW-Architektur

Abgeschirmte, VM-basierte PfotenShielded VM-based PAWs

Eine sichere Variante des Modells für administrative VMS ist die Verwendung von abgeschirmten virtuellen Computern zum Hosten eines oder mehrerer Administrator-VMS neben einer Benutzer-VM.A secure variant of the administrative VM model is to use shielded virtual machines to host one or more admin VMs alongside a user VM. Abgeschirmte VMS sind so konzipiert, dass Sie sichere Workloads in einer Umgebung ausführen, in der möglicherweise nicht vertrauenswürdige Benutzer oder Code auf dem Standardbenutzer Desktop des physischen Computers ausgeführt werden.Shielded VMs are designed to run secure workloads in an environment where potentially untrusted users or code may be running on the physical machine's standard user desktop. Eine abgeschirmte VM verfügt über ein virtuelles TPM, das es ermöglicht, ihre eigenen ruhenden Daten zu verschlüsseln, und verschiedene administrative Steuerungsmechanismen, z. b. der grundlegende Konsolenzugriff, PowerShell Direct und die Möglichkeit zum Debuggen der VM, sind deaktiviert, um den virtuellen Computer vom Standardbenutzer Desktop weiter zu isolieren. andere VMS.A shielded VM has a virtual TPM which allows it to encrypt its own data at rest, and several administrative controls such as basic console access, PowerShell Direct, and the ability to debug the VM are disabled to further isolate the VM from the standard user desktop and other VMs. Die Schlüssel für eine abgeschirmte VM werden in einem vertrauenswürdigen Schlüssel Management Server gespeichert. Dies erfordert, dass das physische Gerät seine Identität und Integrität bestätigt, bevor ein Schlüssel zum Starten des virtuellen Computers freigegeben wird.The keys for a shielded VM are stored on a trusted key management server, which requires the physical device to attest to its identity and health before releasing a key to start the VM. Dadurch wird sichergestellt, dass abgeschirmte VMS nur auf den vorgesehenen Geräten gestartet werden können und dass diese Geräte bekannte und vertrauenswürdige Software Konfigurationen ausführen.This ensures that shielded VMs can only start on the intended devices and that those devices are running known and trusted software configurations.

Da die abgeschirmten VMS voneinander und vom Standardbenutzer Desktop isoliert sind, ist es akzeptabel, mehrere abgeschirmte VMS auf einem einzelnen Host auszuführen, auch wenn diese virtuellen Administrator Computer verschiedene Ebenen verwalten.Because the shielded VMs are isolated from each other and the standard user desktop, it is acceptable to run multiple shielded PAW VMs on a single host, even when those admin VMs manage different tiers.

Weitere Informationen finden Sie weiter unten im Abschnitt Bereitstellen von Pfoten mithilfe eines geschützten Fabrics.See the deploy PAWs using a guarded fabric section below for more information.

Jump ServerJump server

In Verwaltungsarchitekturen mit Sprungbrettserver wird eine geringe Anzahl von Verwaltungskonsolenservern eingerichtet, die nur von bestimmten Mitarbeitern für Verwaltungsaufgaben verwendet werden dürfen.Administrative "Jump Server" architectures set up a small number administrative console servers and restrict personnel to using them for administrative tasks. Eine solche Architektur basiert üblicherweise auf Remotedesktopdiensten, einer Drittanbieterlösung zur Virtualisierung per Präsentation oder einer VDI-Technologie (Virtual Desktop Infrastructure).This is typically based on remote desktop services, a 3rd-party presentation virtualization solution, or a Virtual Desktop Infrastructure (VDI) technology.

Dieser Ansatz wird häufig zur Minimierung von Verwaltungsrisiken vorgeschlagen und bietet einige Sicherheitsfunktionen. Allerdings ist das Sprungbrettserverkonzept selbst anfällig für bestimmte Angriffe, da es das Prinzip der „vertrauenswürdigen Quelle“ verletzt.This approach is frequently proposed to mitigate risk to administration and does provide some security assurances, but the jump server approach by itself is vulnerable to certain attacks because it violates the "clean source" principle. Beim Prinzip der vertrauenswürdigen Quelle müssen alle Sicherheitsabhängigkeiten genauso vertrauenswürdig sein wie das zu sichernde Objekt.The clean source principle requires all security dependencies to be as trustworthy as the object being secured.

Abbildung, die eine einfache Kontrollbeziehung zeigt

Diese Abbildung zeigt eine einfache Kontrollbeziehung.This figure depicts a simple control relationship. Jedes Subjekt, das ein Objekt kontrolliert, ist eine Sicherheitsabhängigkeit dieses Objekts.Any subject in control of an object is a security dependency of that object. Wenn ein Angreifer sich Kontrolle über eine Sicherheitsabhängigkeit eines Zielobjekts (ein Subjekt) verschafft, erhält er damit auch die Kontrolle über dieses Objekt.If an adversary can control a security dependency of a target object (subject), they can control that object.

Die Verwaltungssitzung auf dem Sprungbrettserver ist von der Integrität des lokalen Computers abhängig, der auf die Sitzung zugreift.The administrative session on the jump server relies on the integrity of the local computer accessing it. Wenn es sich bei diesem Computer um eine Arbeitsstation handelt, die Phishingangriffen oder anderen Angriffen aus dem Internet ausgesetzt sein kann, ist auch die Verwaltungssitzung diesen Risiken ausgesetzt.If this computer is a user workstation subject to phishing attacks and other internet-based attack vectors, then the administrative session is also subject to those risks.

Abbildung die zeigt, wie Angreifer einer eingerichteten Kontrollkette folgen können, um zum gewünschten Zielobjekt zu gelangen

Die obige Abbildung zeigt, wie Angreifer einer eingerichteten Kontrollkette folgen können, um zum gewünschten Zielobjekt zu gelangen.The figure above depicts how attackers can follow an established control chain to the target object of interest.

Erweiterte Sicherheitsmaßnahmen wie die mehrstufige Authentifizierung können es einem Angreifer erschweren, von einer Benutzerarbeitsstation aus eine Verwaltungssitzung zu übernehmen. Es gibt allerdings keine Sicherheitsfunktion, die vollständig vor technischen Angriffen schützen kann, wenn ein Angreifer über Verwaltungszugriff auf dem Quellcomputer verfügt (z.B. durch Eingabe unerlaubter Befehle in einer genehmigten Sitzung, durch Übernahme legitimer Prozesse usw.).While some advanced security controls like multi-factor authentication can increase the difficulty of an attacker taking over this administrative session from the user workstation, no security feature can fully protect against technical attacks when an attacker has administrative access of the source computer (e.g. injecting illicit commands into a legitimate session, hijacking legitimate processes, and so on.)

Die Standardkonfiguration in diesem PAW-Leitfaden installiert Verwaltungstools auf der PAW, bei Bedarf kann jedoch auch eine Sprungbrettserverarchitektur hinzugefügt werden.The default configuration in this PAW guidance installs administrative tools on the PAW, but a jump server architecture can also be added if required.

Abbildung die zeigt, wie sich durch Umkehren der Kontrollbeziehung und Zugreifen auf Benutzer-Apps über eine Arbeitsstationen für Administratoren verhindern lässt, dass Angreifer ein Zielobjekt erreichen können

Diese Abbildung zeigt, wie sich durch Umkehren der Kontrollbeziehung und Zugreifen auf Benutzer-Apps über eine Arbeitsstationen für Administratoren verhindern lässt, dass Angreifer ein Zielobjekt erreichen können.This figure shows how reversing the control relationship and accessing user apps from an admin workstation gives the attacker no path to the targeted object. Der Sprungserver des Benutzers ist weiterhin Risiken ausgesetzt – für diesen Computer mit Internetzugriff sollten also geeignete Kontrollmechanismen und Prozesse implementiert werden, um Risiken zu erkennen, sich davor zu schützen und darauf zu reagieren.The user jump server is still exposed to risk so appropriate protective controls, detective controls, and response processes should still be applied for that internet-facing computer.

In dieser Konfiguration müssen Administratoren sich sehr genau an festgelegte Vorgehensweisen halten, um sicherzustellen, dass sie auf ihrem Desktopcomputer nicht versehentlich Administratoranmeldeinformationen in die Benutzersitzung eingeben.This configuration requires administrators to follow operational practices closely to ensure that they don't accidentally enter administrator credentials into the user session on their desktop.

Abbildung die zeigt, dass ein Angreifer keine Möglichkeit hat, an die Verwaltungsassets zu gelangen, wenn der Zugriff auf einen administrativen Sprungbrettserver über eine PAW erfolgt

Diese Abbildung zeigt: Wenn der Zugriff auf einen administrativen Sprungbrettserver über eine PAW erfolgt, hat eine Angreifer keine Möglichkeit, an die Verwaltungsassets zu gelangen.This figure shows how accessing an administrative jump server from a PAW adds no path for the attacker into the administrative assets. In diesem Fall ermöglicht es ein Sprungbrettserver mit einer PAW Ihnen, die Anzahl von Speicherorten für die Überwachung von Verwaltungsaktivitäten und für die Verteilung von Verwaltungsanwendungen und -tools zu konsolidieren.A jump server with a PAW allows in this case you to consolidate the number of locations for monitoring administrative activity and distributing administrative applications and tools. Dies macht zwar das Design ein wenig komplexer, kann aber die Sicherheitsüberwachung und das Aufspielen von Softwareupdates vereinfachen, wenn Ihre PAW-Implementierung sehr viele Konten und Arbeitsstationen umfasst.This adds some design complexity, but can simplify security monitoring and software updates if a large number of accounts and workstations are used in your PAW implementation. Der Sprungbrettserver muss mit den gleichen Sicherheitsstandards erstellt und konfiguriert werden wie die PAW.The jump server would need to be built and configured to similar security standards as the PAW.

Lösungen zur Berechtigungs VerwaltungPrivilege management solutions

Lösungen für die Berechtigungsverwaltung sind Anwendungen, die bei Bedarf temporären Zugriff auf einzelne Berechtigungen oder privilegierte Konten bereitstellen.Privileged Management solutions are applications that provide temporary access to discrete privileges or privileged accounts on demand. Lösungen für die Berechtigungsverwaltung sind eine sehr wertvolle Komponente einer umfassenden Strategie zur Sicherung des privilegierten Zugriffs und sorgen für die Transparenz und Zuverlässigkeit, die für Verwaltungsaktivitäten unabdingbar sind.Privilege management solutions are an extremely valuable component of a complete strategy to secure privileged access and provide critically important visibility and accountability of administrative activity.

Diese Lösungen nutzen üblicherweise einen flexiblen Workflow zum Gewähren des Zugriffs und verfügen über zahlreiche weitere Sicherheitsfeatures und -methoden, wie z.B. die Kennwortverwaltung für Dienstkonten und die Integration mit administrativen Sprungbrettservern.These solutions typically use a flexible workflow to grant access and many have additional security features and capabilities like service account password management and integration with administrative jump servers. Der Markt bietet eine Vielzahl solcher Lösungen mit Funktionen für die Berechtigungsverwaltung – z.B. die PAM-Lösung (Privileged Access Management) in Microsoft Identity Manager (MIM).There are many solutions on the market that provide privilege management capabilities, one of which is Microsoft Identity Manager (MIM) privileged access management (PAM).

Microsoft empfiehlt die Verwendung einer PAW für den Zugriff auf Lösungen für die Berechtigungsverwaltung.Microsoft recommends using a PAW to access privilege management solutions. Der Zugriff auf solche Lösungen sollte ausschließlich PAWs gewährt werden.Access to these solutions should be granted only to PAWs. Microsoft rät davon ab, diese Lösungen als Ersatz für eine PAW zu verwenden, da in diesem Fall der Zugriff auf Berechtigungen von einem potenziell gefährdeten Benutzerdesktop aus das Prinzip der vertrauenswürdigen Quelle verletzt, wie im Diagramm unten gezeigt:Microsoft does not recommend using these solutions as a substitute for a PAW because accessing privileges using these solutions from a potentially compromised user desktop violates the clean source principle as depicted in the diagram below:

Diagramm, das zeigt, wie Microsoft davon abrät, diese Lösungen als Ersatz für eine PAW zu verwenden, da in diesem Fall der Zugriff auf Berechtigungen von einem potenziell gefährdeten Benutzerdesktop aus das Prinzip der vertrauenswürdigen Quelle verletzt

Durch Bereitstellen einer PAW für den Zugriff auf diese Lösungen können Sie von den Sicherheitsvorteilen sowohl der PAW als auch der Lösung für die Berechtigungsverwaltung profitieren, wie in diesem Diagramm gezeigt:Providing a PAW to access these solutions enables you to gain the security benefits of both PAW and the privilege management solution, as depicted in this diagram:

Diagramm, das zeigt, wie Sie durch die Bereitstellung einer PAW für den Zugriff auf diese Lösungen von den Sicherheitsvorteilen aus der PAW und der Lösung für die Berechtigungsverwaltung profitieren

Hinweis

Diese Systeme sollten auf die höchste Ebene der Berechtigung eingestuft werden, die sie verwalten, und mindestens auf dieser Ebene geschützt werden.These systems should be classified at the highest tier of the privilege they manage and be protected at or above that level of security. Die Systeme werden im Allgemeinen für die Verwaltung von Lösungen und Assets auf Ebene 0 konfiguriert und sollten daher auf Ebene 0 eingestuft werden.These are commonly configured to manage Tier 0 solutions and Tier 0 assets and should be classified at Tier 0. Weitere Informationen zum Ebenenmodell finden Sie unter https://aka.ms/tiermodel . Weitere Informationen zu Gruppen der Ebene 0 finden Sie unter Äquivalenz der Ebene 0 im Referenz Material zum Sichern des privilegierten Zugriffs.For more information on the tier model, see https://aka.ms/tiermodel For more information on Tier 0 groups, see Tier 0 equivalency in Securing Privileged Access Reference Material.

Weitere Informationen zum Bereitstellen von Microsoft Identity Manager (MIM) privilegierte Zugriffs Verwaltung (PAM) finden Sie unter https://aka.ms/mimpamdeploy .For more information on deploying Microsoft Identity Manager (MIM) privileged access management (PAM), see https://aka.ms/mimpamdeploy

PAW-SzenarienPAW Scenarios

Dieser Abschnitt enthält Informationen dazu, auf welche Szenarien dieser PAW-Leitfaden angewendet werden sollte.This section contains guidance on which scenarios this PAW guidance should be applied to. In allen Szenarien sollten Administratoren entsprechend geschult werden, damit sie die PAWs nur für Supportaufgaben für Remotesysteme einsetzen.In all scenarios, administrators should be trained to only use PAWs for performing support of remote systems. Um eine erfolgreiche und sichere Nutzung zu unterstützen, sollten alle PAW-Benutzer dazu angehalten werden, Feedback bereitstellen, um die Verwendung von PAWs zu verbessern. Das Feedback sollte sorgfältig geprüft und ggf. in unser PAW-Programm integriert werden.To encourage successful and secure usage, all PAW users should be also be encouraged to provide feedback to improve the PAW experience and this feedback should be reviewed carefully for integration with your PAW program.

In allen Szenarien können in späteren Phasen zusätzliche Sicherheitsmaßnahmen sowie verschiedene Hardwareprofile eingesetzt werden, um die Verwendbarkeits- oder Sicherheitsanforderungen der Rollen zu erfüllen.In all scenarios, additional hardening in later phases and different hardware profiles in this guidance may be used to meet the usability or security requirements of the roles.

Hinweis

Diese Anleitung unterscheidet sich explizit zwischen dem Zugriff auf bestimmte Dienste im Internet (z. b. Azure und Office 365-Verwaltungs Portale) und dem "Open Internet" aller Hosts und Dienste.This guidance explicitly differentiates between requiring access to specific services on the internet (such as Azure and Office 365 administrative portals) and the "Open Internet" of all hosts and services.

Weitere Informationen über die Ebenenbezeichnungen finden Sie im Ebenenmodell.See the Tier model page for more information on the Tier designations.

SzenarienScenarios PW verwenden?Use PAW? Überlegungen zu Umfang und SicherheitScope and Security Considerations
Active Directory-Administratoren – Ebene 0Active Directory Admins - Tier 0 JaYes Eine gemäß der Anleitung für Phase 1 erstellte PAW ist für diese Rolle ausreichend.A PAW built with Phase 1 guidance is sufficient for this role.

– Eine Verwaltungsgesamtstruktur kann hinzugefügt werden, um in diesem Szenario höchstmöglichen Schutz zu bieten.- An administrative forest can be added to provide the strongest protection for this scenario. Weitere Informationen zur ESAE-Verwaltungsgesamtstruktur finden Sie unter ESAE-basierter Ansatz für den Entwurf einer administrativen Gesamtstruktur.For more information on the ESAE administrative forest, see ESAE Administrative Forest Design Approach
– Eine PAW kann zur Verwaltung von mehreren Domänen oder mehreren Gesamtstrukturen verwendet werden.- A PAW can be used to managed multiple domains or multiple forests.
-Wenn Domänen Controller in einer IaaS-Lösung (Infrastructure-as-a-Service) oder einer lokalen Virtualisierungssoftware gehostet werden, sollten Sie die Implementierung von Pfoten für die Administratoren dieser Lösungen priorisieren.- If Domain Controllers are hosted on an Infrastructure as a Service (IaaS) or on-premises virtualization solution, you should prioritize implementing PAWs for the administrators of those solutions.
Verwalten von Azure IaaS- und PaaS-Diensten (Infrastructure-as-a-Service bzw. Platform-as-a-Service) – Ebene 0 oder Ebene 1 (siehe Überlegungen zu Einsatzbereich und Entwurf)Admin of Azure IaaS and PaaS services - Tier 0 or Tier 1 (see Scope and Design Considerations) JaYes Eine gemäß der Anleitung für Phase 2 erstellte PAW ist für diese Rolle ausreichend.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

– PAWs sollten zumindest für den globalen Administrator und für den für die Abonnementabrechnung zuständigen Administrator verwendet werden.- PAWs should be used for at least the Global administrator and Subscription Billing administrator. Für delegierte Administratoren kritischer oder vertraulicher Server sollten Sie ebenfalls PAWs verwenden.You should also use PAWs for delegated administrators of critical or sensitive servers.
-Die-Pfoten sollten zum Verwalten des Betriebssystems und der Anwendungen verwendet werden, die die Verzeichnis Synchronisierung und den Identitäts Verbund für Clouddienste wie Azure AD Connect und Active Directory-Verbunddienste (AD FS) (ADFS) bereitstellen.- PAWs should be used for managing the operating system and applications that provide Directory Synchronization and Identity Federation for cloud services such as Azure AD Connect and Active Directory Federation Services (ADFS).
– Einschränkungen für den ausgehenden Netzwerkdatenverkehr dürfen Verbindungen nur mit autorisierten Clouddiensten zulassen, gemäß Anleitung für Phase 2.- The outbound network restrictions must allow connectivity only to authorized cloud services using the guidance in Phase 2. Auf PAWs darf kein offener Internetzugang zulässig sein.No open internet access should be allowed from PAWs.
-Windows Defender Exploit Guard sollte auf der Arbeitsstations Notiz konfiguriert werden : Ein Abonnement wird für eine Gesamtstruktur als Ebene 0 betrachtet, wenn sich Domänen Controller oder andere Hosts der Ebene 0 im Abonnement befinden.- Windows Defender Exploit Guard should be configured on the workstation Note: A subscription is considered to be Tier 0 for a Forest if Domain Controllers or other Tier 0 hosts are in the subscription. Ein Abonnement befindet sich auf Ebene 1, wenn keine Server der Ebene 0 in Azure gehostet werden.A subscription is Tier 1 if no Tier 0 servers are hosted in Azure.
Verwalten von Office 365-MandantenAdmin Office 365 Tenant
– Ebene 1- Tier 1
JaYes Eine gemäß der Anleitung für Phase 2 erstellte PAW ist für diese Rolle ausreichend.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

– PAWs sollten zumindest für den für die Abonnementabrechnung zuständigen Administrator, den globalen Administrator, den Exchange-Administrator, den SharePoint-Administrator und den Benutzerverwaltungsadministrator verwendet werden.- PAWs should be used for at least the Subscription Billing administrator, Global administrator, Exchange administrator, SharePoint administrator, and User management administrator roles. Sie sollten auch unbedingt die Verwendung von PAWs für delegierte Administratoren höchst kritischer oder sensibler Daten erwägen.You should also strongly consider the use of PAWs for delegated administrators of highly critical or sensitive data.
-Windows Defender Exploit Guard sollte auf der Arbeitsstation konfiguriert werden.- Windows Defender Exploit Guard should be configured on the workstation.
– Einschränkungen für den ausgehenden Netzwerkdatenverkehr dürfen Verbindungen nur mit Microsoft-Diensten zulassen, gemäß Anleitung für Phase 2.- The outbound network restrictions must allow connectivity only to Microsoft services using the guidance in Phase 2. Auf PAWs darf kein offener Internetzugang zulässig sein.No open internet access should be allowed from PAWs.
Verwalten anderer IaaS- der PaaS-ClouddiensteOther IaaS or PaaS cloud service admin
– Ebene 0 oder Ebene 1 (siehe Überlegungen zu Einsatzbereich und Entwurf)- Tier 0 or Tier 1 (see Scope and Design Considerations)
JaYes Eine gemäß der Anleitung für Phase 2 erstellte PAW ist für diese Rolle ausreichend.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

– PAWs sollten für alle Rollen verwendet werden, die über Administratorrechte für in der Cloud gehostete virtuelle Computer verfügen. Zu den Aufgaben dieser Rollen gehören die Installation von Agents, der Export von Festplattendateien oder der Zugriff auf Speichersysteme, die Festplattenlaufwerke mit Betriebssystemen, sensiblen Daten oder geschäftskritischen Daten enthalten.- PAWs should be used for any role that has administrative rights over cloud hosted VMs including the ability to install agents, export hard disk files, or access storage where hard drives with operating systems, sensitive data, or business critical data is stored.
– Einschränkungen für den ausgehenden Netzwerkdatenverkehr dürfen Verbindungen nur mit Microsoft-Diensten zulassen, gemäß Anleitung für Phase 2.- The outbound network restrictions must allow connectivity only to Microsoft services using the guidance in Phase 2. Auf PAWs darf kein offener Internetzugang zulässig sein.No open internet access should be allowed from PAWs.
-Windows Defender Exploit Guard sollte auf der Arbeitsstation konfiguriert werden.- Windows Defender Exploit Guard should be configured on the workstation. Hinweis: Ein Abonnement ist für eine Gesamtstruktur Ebene 0, wenn sich Domänen Controller oder andere Hosts der Ebene 0 im Abonnement befinden.Note: A subscription is Tier 0 for a Forest if Domain Controllers or other Tier 0 hosts are in the subscription. Ein Abonnement befindet sich auf Ebene 1, wenn keine Server der Ebene 0 in Azure gehostet werden.A subscription is Tier 1 if no Tier 0 servers are hosted in Azure.
VirtualisierungsadministratorenVirtualization Administrators
– Ebene 0 oder Ebene 1 (siehe Überlegungen zu Einsatzbereich und Entwurf)- Tier 0 or Tier 1 (see Scope and Design Considerations)
JaYes Eine gemäß der Anleitung für Phase 2 erstellte PAW ist für diese Rolle ausreichend.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

– PAWs sollten für alle Rollen verwendet werden, die über Administratorrechte für virtuelle Computer verfügen. Zu den Aufgaben dieser Rollen gehören die Installation von Agents, der Export von virtuellen Festplattendateien oder der Zugriff auf Speichersysteme, die Festplattenlaufwerke mit Informationen zu Gastbetriebssystemen, sensiblen Daten oder geschäftskritischen Daten enthalten.- PAWs should be used for any role that has administrative rights over VMs including the ability to install agents, export virtual hard disk files, or access storage where hard drives with guest operating system information, sensitive data, or business critical data is stored. Hinweis: Ein Virtualisierungssystem (und seine Administratoren) gilt für eine Gesamtstruktur als Ebene 0 (null), wenn sich Domänen Controller oder andere Hosts der Ebene 0 im Abonnement befinden.Note: A virtualization system (and its admins) are considered Tier 0 for a Forest if Domain Controllers or other Tier 0 hosts are in the subscription. Ein Abonnement befindet sich auf Ebene 1, wenn keine Server der Ebene 0 im Virtualisierungssystem gehostet werden.A subscription is Tier 1 if no Tier 0 servers are hosted in the virtualization system.
Administratoren für die ServerwartungServer Maintenance Admins
– Ebene 1- Tier 1
JaYes Eine gemäß der Anleitung für Phase 2 erstellte PAW ist für diese Rolle ausreichend.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

– Eine PAW sollte für Administratoren verwendet werden, die für Aktualisierung, Patching und Problembehandlung von Unternehmensservern und -Apps unter Windows Server, Linux und anderen Betriebssystemen zuständig sind.- A PAW should be used for administrators that update, patch, and troubleshoot enterprise servers and apps running Windows server, Linux, and other operating systems.
– Möglicherweise müssen dedizierte Verwaltungstools auf den PAWs installiert werden, um den größeren Aufgabenbereich dieser Administratoren abzudecken.- Dedicated management tools may need to be added for PAWs to handle the larger scale of these admins.
Administratoren für BenutzerarbeitsstationenUser Workstation Admins
– Ebene 2- Tier 2
JaYes Eine gemäß der Anleitung für Phase 2 erstellte PAW ist für Rollen ausreichend, die über Administratorrechte für Endbenutzergeräte verfügen (z.B. für Rollen im Helpdesk- und Vor-Ort-Support).A PAW built using guidance provided in Phase 2 is sufficient for roles that have administrative rights on end user devices (such as helpdesk and deskside support roles).

– Möglicherweise müssen auf den PAWs zusätzliche Anwendungen installiert werden, um das Ticketmanagement und andere Supportfunktionen zu ermöglichen.- Additional applications may need to be installed on PAWs to enable ticket management and other support functions.
-Windows Defender Exploit Guard sollte auf der Arbeitsstation konfiguriert werden.- Windows Defender Exploit Guard should be configured on the workstation.
Möglicherweise müssen dedizierte Verwaltungstools auf den PAWs installiert werden, um den größeren Aufgabenbereich dieser Administratoren abzudecken.Dedicated management tools may need to be added for PAWs to handle the larger scale of these admins.
SQL-, SharePoint- oder LoB-Administrator (Line of Business)SQL, SharePoint, or line of business (LOB) Admin
– Ebene 1- Tier 1
JaYes Eine gemäß der Anleitung für Phase 2 erstellte PAW ist für diese Rolle ausreichend.A PAW built with Phase 2 guidance is sufficient for this role.

– Möglicherweise müssen auf den PAWs zusätzliche Verwaltungstools installiert werden, damit Administratoren Anwendungen verwalten können, ohne über Remotedesktop eine Verbindung zu einem Server herstellen zu müssen.- Additional management tools may need to be installed on PAWs to allow administrators to manage applications without needing to connect to servers using Remote Desktop.
Benutzer, die die Präsenz in sozialen Medien pflegenUsers Managing Social Media Presence TeilweisePartially Eine gemäß der Anleitung für Phase 2 erstellte PAW kann als Ausgangspunkt zur Bereitstellung von Sicherheit für diese Rollen verwendet werden.A PAW built using the guidance provided in Phase 2 can be used as a starting point to provide security for these role.

– Schützen und verwalten Sie Konten in sozialen Medien, und verwenden Sie Azure Active Directory (AAD), um den Zugriff auf diese Konten freigeben, schützen und nachverfolgen zu können.- Protect and manage social media accounts using Azure Active Directory (AAD) for sharing, protecting, and tracking access to social media accounts.
Weitere Informationen zu dieser Funktionalität finden Sie in diesem Blogbeitrag.For more information on this capability read this blog post.
– Die Einschränkungen für ausgehenden Netzwerkdatenverkehr müssen die Verbindung mit diesen Diensten zulassen.- The outbound network restrictions must allow connectivity to these services. Hierzu können Sie offene Internetverbindungen zulassen (sehr viel höheres Sicherheitsrisiko, das viele Sicherheitsmechanismen auf PAWs aushebelt) oder nur die für den Dienst erforderlichen DNS-Adressen zulassen (es kann schwierig sein, diese DNS-Adressen abzurufen).This can be done by allowing open internet connections (much higher security risk that negates many PAW assurances) or by allowing only required DNS addresses for the service (may be challenging to obtain).
StandardbenutzerStandard Users NeinNo Viele der Sicherheitsschritte können auch für Standardbenutzer verwendet werden. Eine PAW dagegen ist speziell zur Isolierung von Konten vom offenen Internetzugriff entworfen, den viele Benutzer für ihre täglichen Aufgaben benötigen.While many hardening steps can be used for standard users, PAW is designed to isolate accounts from the open internet access that most users require for job duties.
Gast-VDI/KioskGuest VDI/Kiosk NeinNo Während viele Sicherheitsschritte für ein Kiosksystem für Gäste verwendet werden können, wurde die PAW-Architektur speziell dafür konzipiert, hochsensiblen Konten ein höheres Maß an Sicherheit zu bieten, und nicht dafür, mehr Sicherheit für weniger vertrauliche Konten bereitzustellen.While many hardening steps can be used for a kiosk system for guests, the PAW architecture is designed to provide higher security for high sensitivity accounts, not higher security for lower sensitivity accounts.
VIP-Benutzer (Unternehmensleitung, Forschungsmitarbeiter usw.)VIP User (Executive, Researcher, etc.) TeilweisePartially Eine mit der in Phase 2 bereitgestellte Anleitung kann als Ausgangspunkt für die Bereitstellung von Sicherheit für diese Rollen verwendet werden.A PAW built using guidance provided in Phase 2 can be used as a starting point to provide security for these roles.

– Dieses Szenario ähnelt einem Szenario für Standardbenutzerdesktops, weist aber in der Regel ein kleineres, einfacheres und bekanntes Anwendungsprofil auf.- This scenario is similar to a standard user desktop, but typically has a smaller, simpler, and well-known application profile. Das Szenario erfordert üblicherweise, dass sensible Daten, Dienste und Anwendungen erkannt und geschützt werden (die auf den Desktops installiert sein können, aber nicht müssen).This scenario typically requires discovering and protecting sensitive data, services, and applications (which may or may not be installed on the desktops).
– Diese Rollen erfordern üblicherweise ein hohes Maß an Sicherheit und ein sehr hohes Maß an Benutzerfreundlichkeit, wodurch Entwurfsänderungen erforderlich sind, um die Benutzeranforderungen zu erfüllen.- These roles typically require a high degree of security and very high degree of usability, which require design changes to meet user preferences.
Industrielle Steuerungssysteme (z.B. SCADA, PCN und DCS)Industrial control systems (e.g. SCADA, PCN, and DCS) TeilweisePartially Eine gemäß der Anleitung für Phase 2 erstellte PAW kann als Ausgangspunkt zur Bereitstellung von Sicherheit für diese Rollen verwendet werden, da die meisten ICS-Konsolen (einschließlich solcher allgemeinen Standards wie SCADA und PCN) keinen Zugriff auf das offene Internet oder E-Mails erfordern.A PAW built using guidance provided in Phase 2 can be used as a starting point to provide security for these roles as most ICS consoles (including such common standards as SCADA and PCN) don't require browsing the open Internet and checking email.

-Anwendungen, die zum Steuern physischer Maschinen verwendet werden, müssten auf Kompatibilität integriert und getestet und entsprechend geschützt werden.- Applications used for controlling physical machinery would have to be integrated and tested for compatibility and protected appropriately.
Integriertes BetriebssystemEmbedded Operating System NeinNo Während viele der Sicherheitsschritte für PAWs für integrierte Betriebssysteme verwendet werden können, muss in diesem Szenario eine benutzerdefinierte Lösung für die Sicherung entwickelt werden.While many hardening steps from PAW can be used for embedded operating systems, a custom solution would need to be developed for hardening in this scenario.

Hinweis

Kombinierte Szenarien: Einige Mitarbeiter sind möglicherweise für Verwaltungsaufgaben verantwortlich, die mehrere Szenarien umfassen.Combination scenarios some personnel may have administrative responsibilities that span multiple scenarios. In diesen Fällen sollten Sie die wichtigsten Regeln beachten, dass die ebenenmodellregeln immer befolgt werden müssen.In these cases, the key rules to keep in mind are that the Tier model rules must always be followed. Weitere Informationen finden Sie im Ebenenmodell.See the Tier model page for more information.

Hinweis

Skalieren des PAW-Programms: Wenn Ihr PAW-Programm skaliert werden muss, um weitere Administratoren und Rollen abzudecken, müssen Sie weiterhin sicherstellen, dass die Sicherheits- und Nutzbarkeitsstandards eingehalten werden.Scaling the PAW Program as your PAW program scales to encompass more admins and roles, you need to continue to ensure that you maintain adherence to the security standards and usability. Dazu müssen Sie möglicherweise Ihre IT-Supportstrukturen aktualisieren oder neue einrichten, um PAW-spezifische Herausforderungen wie etwa den Onboardingprozess, das Incidentmanagement oder die Konfigurationsverwaltung zu bewältigen. Zudem müssen Sie das Feedback der Benutzer berücksichtigen, um eventuelle Probleme mit der Nutzbarkeit zu beheben.This may require you to update your IT support structures or create new ones to resolve PAW specific challenges such as PAW onboarding process, incident management, configuration management, and gathering feedback to address usability challenges. Ein Beispiel: Ihre Organisation beschließt, Administratoren das Arbeiten von zu Hause aus zu ermöglichen. Daher müssen statt Desktop-PAWs jetzt Laptop-PAWs eingesetzt werden – eine Änderung, bei der zusätzliche Sicherheitsaspekte zu bedenken sind.One example may be that your organization decides to enable work-from-home scenarios for administrators, which would necessitate a shift from desktop PAWs to laptop PAWs - a shift which may necessitate additional security considerations. Ein weiteres häufiges Szenario ist die Erstellung oder Aktualisierung von Schulungen für neue Administratoren. Solche Schulungen müssen jetzt Inhalte zur ordnungsgemäßen Verwendung einer PAW enthalten (und darüber informieren, was eine PAW ist, was sie nicht ist und warum ihr Einsatz so wichtig ist).Another common example is to create or update training for new administrators - training which must now include content on the appropriate use of a PAW (including why its important and what a PAW is and isn't). Weitere Aspekte, die beim Skalieren Ihres PAW-Programms berücksichtigt werden müssen, finden Sie in Phase 2 der Anweisungen.For more considerations which must be addressed as you scale your PAW program, see Phase 2 of the instructions.

Dieser Leitfaden enthält detaillierte Anweisungen für die PAW-Konfiguration für die oben genannten Szenarien.This guidance contains the detailed instructions for the PAW configuration for the scenarios as noted above. Wenn Sie andere Szenarien implementieren, können Sie die Anweisungen in diesem Leitfaden selbst entsprechend anpassen oder einen professionellen Dienstleister wie z.B. Microsoft mit der Einrichtung beauftragen.If you have requirements for the other scenarios, you can adapt the instructions based on this guidance yourself or hire a professional services organization like Microsoft to assist with it.

Informationen dazu, wie Sie Microsoft-Dienste für die Bereitstellung einer auf Ihre Umgebung zugeschnittenen PAW-Lösung in Anspruch nehmen können, erhalten Sie von Ihrem Microsoft-Vertriebsmitarbeiter oder auf dieser Seite.For more information on engaging Microsoft services to design a PAW tailored for your environment, contact your Microsoft representative or visit this page.

PW-Implementierung in PhasenPAW Phased implementation

Da eine PAW eine sichere und vertrauenswürdige Quelle für die Verwaltung bereitstellen muss, ist es von größter Bedeutung, dass der Buildprozess ebenfalls sicher und vertrauenswürdig ist.Because the PAW must provide a secure and trusted source for administration, it's essential that the build process is secure and trusted. Dieser Abschnitt enthält detaillierte Anweisungen, mit denen Sie selbst PAWs erstellen können. Dabei kommen allgemeine Prinzipien und Konzepte zum Einsatz, die den von der Microsoft-IT und den Cloudentwicklungs- und Dienstverwaltungsorganisationen von Microsoft verwendeten sehr ähneln.This section will provide detailed instructions which will allow you to build your own PAW using general principles and concepts very similar to those used by Microsoft IT and Microsoft cloud engineering and service management organizations.

Die Anweisungen sind in drei Phasen unterteilt, und der Schwerpunkt liegt darauf, die wichtigsten Risikominimierungen schnell einzurichten und die Nutzung der PAWs für das Unternehmen dann nach und nach zu steigern und zu erweitern.The instructions are divided into three phases which focus on putting the most critical mitigations in place quickly and then progressively increasing and expanding the usage of PAW for the enterprise.

Beachten Sie Folgendes: Die Phasen sollten immer in dieser Reihenfolge ausgeführt werden, auch wenn sie im Rahmen desselben Gesamtprojekts geplant und implementiert werden.It is important to note that the phases should always be performed in order even if they are planned and implemented as part of the same overall project.

Phase 1: Sofortige Bereitstellung für Active Directory-AdministratorenPhase 1: Immediate deployment for Active Directory administrators

Zweck: Bietet schnell eine PW, die lokale Domänen-und Gesamtstruktur Verwaltungs Rollen schützen kann.Purpose: Provides a PAW quickly that can protect on-premises domain and forest administration roles.

Umfang: Administratoren der Ebene 0, einschließlich Organisations-Admins, Domänen-Admins (für alle Domänen) und Administratoren anderer autoritativer Identitätssysteme.Scope: Tier 0 Administrators including Enterprise Admins, Domain Admins (for all domains), and administrators of other authoritative identity systems.

Phase 1 konzentriert sich auf die Administratoren, die Ihre lokale Active Directory-Domäne verwalten. Dies sind extrem wichtige Rollen, die häufig Ziel von Angreifern sind.Phase 1 focuses on the administrators who manage your on-premises Active Directory domain, which are critically important roles frequently targeted by attackers. Diese Identitätssysteme schützen diese Administratoren effektiv, unabhängig davon, ob Ihre Active Directory-Domänencontroller in lokalen Rechenzentren, in Azure IaaS oder von einem anderen IaaS-Anbieter gehostet werden.These identity systems will work effectively for protecting these admins whether your Active Directory Domain Controllers (DCs) are hosted in on-premises datacenters, on Azure Infrastructure as a Service (IaaS), or another IaaS provider.

Während dieser Phase erstellen Sie die sichere Verwaltungsstruktur für die Active Directory-Organisationseinheit (OE), um Ihre PAWs zu hosten. Des Weiteren stellen Sie die PAWs selbst bereit.During this phase, you will create the secure administrative Active Directory organizational unit (OU) structure to host your privileged access workstation (PAW), as well as deploy the PAWs themselves. Diese Struktur umfasst auch die Gruppenrichtlinien und Gruppen, die für die Unterstützung der PAWs erforderlich sind.This structure also includes the group policies and groups required to support the PAW. Sie erstellen den größten Teil der Struktur mithilfe von PowerShell-Skripts, die in der TechNet-Galerie verfügbar sind.You will create most of the structure using PowerShell scripts which are available at TechNet Gallery.

Diese Skripts erstellen die folgenden Organisationseinheiten und Sicherheitsgruppen:The scripts will create the following OUs and Security Groups:

  • OrganisationseinheitenOrganizational Units (OU)
    • Sechs neue Organisationseinheiten der obersten Ebene: Administrator Musik Server der Ebene 1; Arbeitsstationen Benutzerkonten; und Computer Quarantäne.Six new top-level OUs: Admin; Groups; Tier 1 Servers; Workstations; User Accounts; and Computer Quarantine. Jede Organisationseinheit der obersten Ebene enthält mehrere untergeordnete Organisationseinheiten.Each top-level OU will contain several child OUs.
  • GruppenGroups
    • Sechs neue globale Gruppen mit aktivierter Sicherheit: Replikations Wartung der Ebene 0; Server Wartung der Ebene 1; Service Desk-Operatoren; Arbeitsstations Wartung; Benutzer: PW-Wartung.Six new security-enabled global groups: Tier 0 Replication Maintenance; Tier 1 Server Maintenance; Service Desk Operators; Workstation Maintenance; PAW Users; PAW Maintenance.

Außerdem erstellen Sie mehrere Gruppenrichtlinien Objekte: PW-Konfiguration-Computer; PW-Konfiguration-Benutzer; Restrictedadmin erforderlich-Computer; Ausgehende PW-Einschränkungen; Arbeitsstations Anmeldung einschränken; Beschränken Sie die Server Anmeldung.You will also create several group policy objects: PAW Configuration - Computer; PAW Configuration - User; RestrictedAdmin Required - Computer; PAW Outbound Restrictions; Restrict Workstation Logon; Restrict Server Logon.

Phase 1 umfasst die folgenden Schritte:Phase 1 includes the following steps:

Erfüllen der VoraussetzungenComplete the Prerequisites

  1. Stellen Sie sicher, dass alle Administratoren getrennte Konten für ihre Verwaltungs- und Endbenutzeraktivitäten verwenden (einschließlich E-Mail, Internetrecherche, LoB-Anwendungen und weiterer nicht administrativer Aktivitäten).Ensure that all administrators use separate, individual accounts for administration and end user activities (including email, Internet browsing, line-of-business applications, and other non-administrative activities). Es ist von grundlegender Bedeutung für das PAW-Modell, dass jedem autorisierten Mitarbeiter ein spezifisches, vom Standardbenutzerkonto strikt getrenntes Verwaltungskonto zugewiesen wird, da sich nur bestimmte Konten bei einer PAW anmelden dürfen.Assigning an administrative account to each authorized personnel separate from their standard user account is fundamental to the PAW model, as only certain accounts will be permitted to log onto the PAW itself.

    Hinweis

    Jeder Administrator sollte sein eigenes Konto für die Verwaltung verwenden.Each administrator should use his or her own account for administration. Administratorkonto sollten nicht gemeinsam genutzt werden.Do not share an administrative account.

  2. Minimieren Sie die Anzahl der Administratoren mit Berechtigungen auf Ebene 0.Minimize the number of Tier 0 privileged administrators. Da jeder Administrator eine eigene PAW verwenden muss, senken Sie durch Reduzieren der Anzahl von Administratoren die Anzahl von erforderlichen PAWs und entsprechend auch die damit verbundenen Kosten.Because each administrator must use a PAW, reducing the number of administrators reduces the number of PAWs required to support them and the associated costs. Eine geringere Anzahl von Administratoren senkt zudem eine potenzielle Gefährdung der Administratorrechte und die damit zusammenhängenden Risiken.The lower count of administrators also results in lower exposure of these privileges and associated risks. Administratoren an einem gemeinsamen Standort können eine PAW gemeinsam nutzen, Administratoren in separaten physischen Standorten dagegen benötigen getrennte PAWs.While it is possible for administrators in one location to share a PAW, administrators in separate physical locations will require separate PAWs.

  3. Erwerben Sie die Hardware bei einem vertrauenswürdigen Lieferanten, der alle technischen Anforderungen erfüllt.Acquire hardware from a trusted supplier that meets all technical requirements. Microsoft empfiehlt, Hardware zu erwerben, die die technischen Anforderungen im Artikel Schützen von Domänenanmeldeinformationen mit Credential Guard erfüllt.Microsoft recommends acquiring hardware that meets the technical requirements in the article Protect domain credentials with Credential Guard.

    Hinweis

    Eine PAW, die auf einer Hardwarekomponente ohne diese Funktionen installiert wird, kann bereits ein hohes Maß an Schutz bieten, erweiterte Sicherheitsfunktionen wie Credential Guard und Device Guard stehen in diesem Fall allerdings nicht zur Verfügung.PAW installed on hardware without these capabilities can provide significant protections, but advanced security features such as Credential Guard and Device Guard will not be available. Credential Guard und Device Guard sind für die Bereitstellung in Phase 1 nicht unbedingt erforderlich, werden im Rahmen von Phase 3 (erweiterte Sicherung) jedoch dringend empfohlen.Credential Guard and Device Guard are not required for Phase 1 deployment, but are strongly recommended as part of Phase 3 (advanced hardening).

    Stellen Sie sicher, dass die für die PAW verwendete Hardware von einem Hersteller und einem Lieferanten stammt, deren Sicherheitsmethoden von der Organisation als vertrauenswürdig eingestuft werden.Ensure that the hardware used for the PAW is sourced from a manufacturer and supplier whose security practices are trusted by the organization. Dies ist eine Anwendung des Prinzips der vertrauenswürdigen Quelle auf die Sicherheit in der Lieferkette.This is an application of the clean source principle to supply chain security.

    Hintergrundinformationen zur Bedeutung der Sicherheit in der Lieferkette finden Sie auf dieser Website.For more background on the importance of supply chain security, visit this site.

  4. Erwerben und überprüfen Sie die erforderliche Windows 10 Enterprise Edition und die erforderliche Anwendungssoftware.Acquire and validate the required Windows 10 Enterprise Edition and application software. Beziehen Sie die für die PAWs erforderliche Software, und überprüfen Sie sie anhand der Anleitung unter Vertrauenswürdige Quelle für Installationsmedien.Obtain the software required for PAW and validate it using the guidance in Clean Source for installation media.

  5. Stellen Sie sicher, dass im Intranet ein WSUS-Server verfügbar ist.Ensure you have WSUS server available on the intranet. Sie benötigen einen WSUS-Server im Intranet, um Updates für PAWs herunterzuladen und zu installieren.You will need a WSUS server on the intranet to download and install updates for PAW. Dieser WSUS-Server sollte so konfiguriert sein, dass alle Sicherheitsupdates für Windows 10 automatisch genehmigt werden, oder verantwortungsvolle Verwaltungsmitarbeiter müssen Softwareupdates schnell und zuverlässig genehmigen.This WSUS server should be configured to automatically approve all security updates for Windows 10 or an administrative personnel should have responsibility and accountability to rapidly approve software updates.

    Hinweis

    Weitere Informationen finden Sie im Dokument Genehmigen von Updates unter „Automatisches Genehmigen der Installation von Updates“.For more information, see the "Automatically Approve Updates for Installation" section in the Approving Updates guidance.

Bereitstellen des Administrator-OE-Frameworks zum Hosten der PAWsDeploy the Admin OU Framework to host the PAWs

  1. Laden Sie die PAW-Skriptbibliothek aus der TechNet-Galerie herunter.Download the PAW script library from TechNet Gallery

    Hinweis

    Laden Sie alle Dateien herunter, speichern Sie Sie im gleichen Verzeichnis, und führen Sie Sie in der unten angegebenen Reihenfolge aus.Download all the files and save them to the same directory, and run them in the order specified below. Create-PAWGroups hängt von der von Create-PAWOUs erstellten OE-Struktur ab, und Set-PAWOUDelegation hängt von den von Create-PAWGroups erstellten Gruppen ab.Create-PAWGroups depends on the OU structure created by Create-PAWOUs, and Set-PAWOUDelegation depends on the groups created by Create-PAWGroups. Ändern Sie weder eines der Skripts noch die CSV-Datei.Do not modify any of the scripts or the comma-separated value (CSV) file.

  2. Führen Sie das Skript Create-PAWOUs.ps1 aus.Run the Create-PAWOUs.ps1 script. Dieses Skript erstellt die neue OE-Struktur in Active Directory und blockiert nach Bedarf die GPO-Vererbung in den neuen Organisationseinheiten.This script will create the new organizational unit (OU) structure in Active Directory, and block GPO inheritance on the new OUs as appropriate.

  3. Führen Sie das Skript Create-PAWGroups.ps1 aus.Run the Create-PAWGroups.ps1 script. Dieses Skript erstellt die neuen globalen Sicherheitsgruppen in den entsprechenden Organisationseinheiten.This script will create the new global security groups in the appropriate OUs.

    Hinweis

    Das Skript erstellt zwar die neuen Sicherheitsgruppen, füllt sie aber nicht automatisch auf.While this script will create the new security groups, it will not populate them automatically.

  4. Führen Sie das Skript Set-PAWOUDelegation.ps1 aus.Run the Set-PAWOUDelegation.ps1 script. Dieses Skript weist den entsprechenden Gruppen die Berechtigungen für die neuen Organisationseinheiten zu.This script will assign permissions to the new OUs to the appropriate groups.

Verschieben Sie Konten der Ebene 0 in die OE "admin\tier 0 \ Accounts".Move Tier 0 accounts to the Admin\Tier 0\Accounts OU

Verschieben Sie jedes Konto, das Mitglied der Gruppe „Domänenadministratoren“, „Unternehmensadministratoren“ oder einer Gruppe mit entsprechenden Berechtigungen auf Ebene 0 (einschließlich geschachtelter Mitgliedschaften) ist, in diese OE.Move each account that is a member of the Domain Admin, Enterprise Admin, or Tier 0 equivalent groups (including nested membership) to this OU. Wenn Ihre Organisation diesen Gruppen eigene Gruppen hinzugefügt hat, sollten Sie diese in die OE „Admin\Tier 0\Groups“ verschieben.If your organization has your own groups that are added to these groups, you should move these to the Admin\Tier 0\Groups OU.

Hinweis

Weitere Informationen dazu, welche Gruppen sich auf Ebene 0 befinden, finden Sie unter „Äquivalenz zur Ebene 0“ in Schützen des privilegierten Zugriffs – Referenzmaterial.For more information on which groups are Tier 0, see "Tier 0 Equivalency" in Securing Privileged Access Reference Material.

Hinzufügen der geeigneten Mitglieder zu den jeweiligen GruppenAdd the appropriate members to the relevant groups

  1. PAW Users: Fügen Sie die Administratoren auf Ebene 0 zu den Gruppen der Domänen- oder Unternehmensadministratoren hinzu, die Sie in Schritt 1 von Phase 1 identifiziert haben.PAW Users - Add the Tier 0 administrators with Domain or Enterprise Admin groups that you identified in Step 1 of Phase 1.

  2. PAW Maintenance: Fügen Sie mindestens ein Konto hinzu, das für Aufgaben der Wartung und Problembehandlung für die PAWs verwendet wird.PAW Maintenance - Add at least one account that will be used for PAW maintenance and troubleshooting tasks. Das Konto bzw. die Konten „PAW Maintenance“ wird/werden nur selten verwendet.The PAW Maintenance Account(s) will be used only rarely.

    Hinweis

    Fügen Sie ein Benutzerkonto oder eine Benutzergruppe nicht sowohl zu „PAW Users“ als auch zu „PAW Maintenance“ hinzu.Do not add the same user account or group to both PAW Users and PAW Maintenance. Das PAW-Sicherheitsmodell basiert teilweise auf der Annahme, dass ein PAW-Benutzerkonto über privilegierte Zugriffsrechte für die verwalteten Systeme oder für die PAW selbst verfügt, nicht jedoch für beides.The PAW security model is based partly on the assumption that the PAW user account has privileged rights on managed systems or over the PAW itself, but not both.

    • Dies ist ein wichtiger Aspekt für die Entwicklung sorgfältiger Verwaltungsmethoden und -gewohnheiten in Phase 1.This is important for building good administrative practices and habits in Phase 1.
    • In Phase 2 und darüber hinaus ist dieser Aspekt von entscheidender Bedeutung, um eine Übertragung von Zugriffsrechten auf verschiedene PAWs zu vermeiden, wenn PAWs ebenenübergreifend eingesetzt werden.This is critically important for Phase 2 and beyond to prevent escalation of privilege through PAW as PAWs being to span Tiers.

    Idealerweise werden keinem Mitarbeiter Aufgaben auf mehreren Ebenen zugewiesen, um das Prinzip der Aufgabentrennung durchzusetzen. Microsoft ist jedoch bewusst, dass viele Organisationen nicht über genügend Mitarbeiter verfügen oder andere organisationsbezogene Anforderungen vorliegen, sodass eine vollständige Trennung nicht immer möglich ist.Ideally, no personnel are assigned to duties at multiple tiers to enforce the principle of segregation of duties, but Microsoft recognizes that many organizations may have limited staff (or other organizational requirements) that don't allow for this full segregation. In diesen Fällen können beide Rollen dem gleichen Mitarbeiter zugewiesen werden, dieser sollte dann aber nicht das gleiche Konto für diese Funktionen verwenden.In these cases, the same personnel may be assigned to both roles, but should not use the same account for these functions.

Erstellen Sie das Gruppenrichtlinien Objekt "PW-Konfiguration-Computer".Create "PAW Configuration - Computer" group policy object (GPO)

In diesem Abschnitt erstellen Sie ein neues Gruppenrichtlinien Objekt "PW-Konfiguration-Computer", das einen bestimmten Schutz für diese Pfoten bereitstellt und es mit der OE der Ebene 0-Geräte ("Devices" unter der Ebene 0 \ admin) verknüpft.In this section, you will create a new "PAW Configuration - Computer" GPO which provide specific protections for these PAWs and link it to the Tier 0 Devices OU ("Devices" under Tier 0\Admin).

Hinweis

Fügen Sie diese Einstellungen nicht zur Standarddomänenrichtlinie hinzu.Do not add these settings to the Default Domain Policy. Dies könnte sich auf Vorgänge in Ihrer gesamten Active Directory-Umgebung auswirken.Doing so will potentially impact operations on your entire Active Directory environment. Konfigurieren Sie diese Einstellungen nur in den hier beschriebenen, neu erstellten Gruppenrichtlinienobjekten, und wenden Sie sie nur auf die Organisationseinheit „PAW“ an.Only configure these settings in the newly-created GPOs described here, and only apply them to the PAW OU.

  1. PAW-Wartungszugriff: Diese Einstellung legt die Mitgliedschaft in bestimmten privilegierten Gruppen auf den PAWs auf eine bestimmte Benutzergruppe fest.PAW Maintenance Access - this setting will set the membership of specific privileged groups on the PAWs to a specific set of users. Wechseln Sie zu Computerkonfiguration\Einstellungen\Systemsteuerungseinstellungen\Lokale Benutzer und Gruppen, und führen Sie folgende Schritte aus:Go to Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups and follow the steps below:

    1. Klicken Sie auf Neu und dann auf Lokale Gruppe.Click New and click Local Group

    2. Wählen Sie die Aktion Update, und wählen Sie „Administratoren (integriert)“ (verwenden Sie nicht die Schaltfläche zum Durchsuchen, um die Gruppenadministratoren für die Domäne auszuwählen).Select the Update action, and select "Administrators (built-in)" (do not use the Browse button to select the domain group Administrators).

    3. Wählen Sie die Kontrollkästchen Alle Mitgliederbenutzer löschen und Alle Mitgliedergruppen löschen aus.Select the Delete all member users and Delete all member groups check boxes

    4. Fügen Sie die Gruppe „PAW Maintenance“ (pawmaint) und „Administrator“ hinzu (verwenden Sie auch hier nicht die Durchsuchen-Schaltfläche zum Auswählen des Administrators).Add PAW Maintenance (pawmaint) and Administrator (again, do not use the Browse button to select Administrator).

      Hinweis

      Fügen Sie die Gruppe „PAW Users“ nicht zur Mitgliederliste für die lokale Administratorengruppe hinzu.Do not add the PAW Users group to the membership list for the local Administrators group. Um sicherzustellen, dass PAW-Benutzer die Sicherheitseinstellungen der PAW nicht versehentlich oder absichtlich ändern können, sollten sie kein Mitglied der lokalen Administratorengruppe sein.To ensure that PAW Users cannot accidentally or deliberately modify the security settings of the PAW itself, they should not be members of the local Administrators groups.

      Weitere Informationen zur Verwendung von Einstellungen für Gruppenrichtlinien, um Gruppenmitgliedschaften zu ändern, finden Sie im TechNet-Artikel Konfigurieren eines Elements für lokale Gruppen.For more information on using Group Policy Preferences to modify group membership, please refer to the TechNet article Configure a Local Group Item.

  2. Einschränken der lokalen Gruppenmitgliedschaft: Diese Einstellung stellt sicher, dass die Mitgliedschaft lokaler Administratorengruppen auf der Arbeitsstation immer leer ist.Restrict Local Group Membership - this setting will ensure that the membership of local admin groups on the workstation is always empty

    1. Wechseln Sie zu „Computerkonfiguration\Einstellungen\Systemsteuerungseinstellungen\Lokale Benutzer und Gruppen“, und führen Sie folgende Schritte aus:Go to Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups and follow the steps below:

      1. Klicken Sie auf Neu und dann auf Lokale Gruppe.Click New and click Local Group
      2. Wählen Sie die Aktion Update, und wählen Sie „Sicherungs-Operatoren (integriert)“ (verwenden Sie nicht die Schaltfläche zum Durchsuchen, um die Sicherungsoperatoren für die Domänengruppe auszuwählen).Select the Update action, and select "Backup Operators (built-in)" (do not use the Browse button to select the domain group Backup Operators).
      3. Wählen Sie die Kontrollkästchen Alle Mitgliederbenutzer löschen und Alle Mitgliedergruppen löschen aus.Select the Delete all member users and Delete all member groups check boxes.
      4. Fügen Sie der Gruppe keine Mitglieder hinzu.Do not add any members to the group. Klicken Sie einfach auf OK.Simply click OK. Durch Zuweisen einer leeren Liste entfernt die Gruppenrichtlinie automatisch alle Mitglieder und stellt bei jeder Aktualisierung der Gruppenrichtlinie sicher, dass die Mitgliedschaftsliste leer ist.By assigning an empty list, group policy will automatically remove all members and ensure a blank membership list each time group policy is refreshed.
    2. Führen Sie die oben genannten Schritte für die folgenden zusätzlichen Gruppen aus:Complete the above steps for the following additional groups:

      • Kryptografie-OperatorenCryptographic Operators
      • Hyper-V-AdministratorenHyper-V Administrators
      • Netzwerkkonfigurations-OperatorenNetwork Configuration Operators
      • PowerusersPower Users
      • RemotedesktopbenutzerRemote Desktop Users
      • Replikatoren auftretenReplicators
    3. PW-Anmelde Einschränkungen : Diese Einstellung schränkt die Konten ein, die sich bei der PW anmelden können.PAW Logon Restrictions - this setting will limit the accounts which can log onto the PAW. Führen Sie die folgenden Schritte aus, um diese Einstellung zu konfigurieren:Follow the steps below to configure this setting:

      1. Wechseln Sie zu „Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Lokal anmelden zulassen“.Go to Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on locally.
      2. Wählen Sie diese Richtlinien Einstellungen definieren aus, und fügen Sie "Benutzer" und "Administratoren" hinzu. (verwenden Sie die Schaltfläche "Durchsuchen" nicht, um die Administratoren auszuwählen.)Select Define these policy settings and add "PAW Users" and Administrators (again, do not use the Browse button to select Administrators).
    4. Eingehenden Netzwerkdatenverkehr blockieren: Diese Einstellung stellt sicher, dass kein unangeforderter eingehender Netzwerkdatenverkehr zur PAW zugelassen wird.Block Inbound Network Traffic - This setting will ensure that no unsolicited inbound network traffic is allowed to the PAW. Führen Sie die folgenden Schritte aus, um diese Einstellung zu konfigurieren:Follow the steps below to configure this setting:

      1. Wechseln Sie zu „Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit“, und führen Sie folgende Schritte aus:Go to Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security and follow the steps below:
        1. Klicken Sie mit der rechten Maustaste auf „Windows-Firewall mit erweiterter Sicherheit“, und wählen Sie Richtlinie importieren aus.Right click on Windows Firewall with Advanced Security and select Import policy.

        2. Klicken Sie auf Ja, um zu bestätigen, dass dadurch alle vorhandenen Firewallrichtlinien überschrieben werden.Click Yes to accept that this will overwrite any existing firewall policies.

        3. Navigieren Sie zu „PAWFirewall.wfw“, und wählen Sie Öffnen.Browse to PAWFirewall.wfw and select Open.

        4. Klicken Sie auf OK.Click OK.

          Hinweis

          An dieser Stelle können Sie Adressen oder Subnetze hinzufügen, deren Datenverkehr zur PAW auch unangefordert zugelassen wird (z.B. Sicherheitsüberprüfungs- oder Verwaltungssoftware).You may add addresses or subnets which must reach the PAW with unsolicited traffic at this point (e.g. security scanning or management software. Die Einstellungen in der WFW-Datei aktivieren die Firewall im Modus „Blockieren (Standard)“ für alle Firewallprofile, deaktivieren die Regelzusammenführung und aktivieren die Protokollierung sowohl für gelöschte als auch für erfolgreiche Pakete.The settings in the WFW file will enable the firewall in "Block - Default" mode for all firewall profiles, turn off rule merging and enable logging of both dropped and successful packets. Diese Einstellungen blockieren nicht angeforderten Datenverkehr und ermöglichen gleichzeitig die bidirektionale Kommunikation über Verbindungen, die von der PW initiiert werden. Dadurch wird verhindert, dass Benutzer mit lokalem Administrator Zugriff Lokale Firewallregeln erstellen, die die GPO-Einstellungen Stellen Sie sicher, dass der Datenverkehr in und aus der PW protokolliert wird.These settings will block unsolicited traffic while still allowing bidirectional communication on connections initiated from the PAW, prevent users with local administrative access from creating local firewall rules that would override the GPO settings and ensure that traffic in and out of the PAW is logged. Durch Öffnen dieser Firewall wird die Angriffsfläche für die PAW vergrößert, und das Sicherheitsrisiko steigt. Bevor Sie Adressen hinzufügen, lesen Sie den Abschnitt zu Verwaltung und Betrieb einer PAW in diesem Leitfaden.Opening up this firewall will expand the attack surface for the PAW and increase security risk. Before adding any addresses, consult the Managing and Operating PAW section in this guidance.

    5. Konfigurieren von Windows Update für WSUS: Führen Sie die unten stehenden Schritte durch, um die Einstellungen zur Konfiguration von Windows Update für die PAWs zu ändern:Configure Windows Update for WSUS - follow the steps below to change the settings to configure Windows Update for the PAWs:

      1. Wechseln Sie zu "Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponent-\Windows-Updates", und führen Sie die folgenden Schritte aus:Go to Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Updates and follow the steps below:
        1. Aktivieren Sie die Richtlinie Automatische Updates konfigurieren.Enable the Configure Automatic Updates policy.
        2. Wählen Sie die Option 4 – Autom. Herunterladen und laut Zeitplan installieren.Select option 4 - Auto download and schedule the install.
        3. Ändern Sie die Option Geplanter Installationstag zu 0 – Täglich und die Option Geplante Installationszeit zu der Uhrzeit, die für den Betrieb Ihrer Organisation am besten passt.Change the option Scheduled install day to 0 - Every Day and the option Scheduled install time to your organizational preference.
        4. Aktivieren Sie die Option Intranetspeicherort für den Microsoft Update Dienst angeben , und geben Sie in beiden Optionen die URL des ESAE-WSUS-Servers an.Enable option Specify intranet Microsoft update service location policy, and specify in both options the URL of the ESAE WSUS server.
    6. Verknüpfen Sie das Gruppenrichtlinien Objekt "PW-Konfiguration-Computer" wie folgt:Link the "PAW Configuration - Computer" GPO as follows:

      RichtliniePolicy SpeicherortLink Location
      PAW-Konfiguration – ComputerPAW Configuration - Computer Admin\Tier 0\DevicesAdmin\Tier 0\Devices

Erstellen des Gruppenrichtlinien Objekts "PW-Konfiguration-Benutzer" (GPO)Create "PAW Configuration - User" group policy object (GPO)

In diesem Abschnitt erstellen Sie ein neues Gruppenrichtlinien Objekt "PW-Konfiguration-Benutzer", das bestimmte Schutzmaßnahmen für diese Pfoten bereitstellt und eine Verknüpfung mit der OE der Ebene 0-Konten ("Accounts" unter Tier 0 \ admin) enthält.In this section, you will create a new "PAW Configuration - User" GPO which provide specific protections for these PAWs and link to the Tier 0 Accounts OU ("Accounts" under Tier 0\Admin).

Hinweis

Fügen Sie diese Einstellungen nicht zur Standarddomänenrichtlinie hinzu.Do not add these settings to the Default Domain Policy

  1. Internetbrowsen blockieren: Um unbeabsichtigtes Internetbrowsen zu verhindern, legt diese Einstellung die Proxyadresse einer Loopbackadresse fest (127.0.0.1).Block internet browsing - To deter inadvertent internet browsing, this will set a proxy address of a loopback address (127.0.0.1).
    1. Wechseln Sie zu benutzerkonfiguration\preferences\windows-einstellungen\registry.Go to User Configuration\Preferences\Windows Settings\Registry. Klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie neu > Registrierungs Element , und konfigurieren Sie die folgenden Einstellungen:Right-click Registry, select New > Registry Item and configure the following settings:

      1. Aktion: ErsetzenAction: Replace

      2. Struktur: HKEY_CURRENT_USERHive: HKEY_CURRENT_USER

      3. Schlüssel Pfad: Software\microsoft\windows\currentversion\internet SettingsKey Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings

      4. Wertname: ProxyEnableValue name: ProxyEnable

        Hinweis

        Aktivieren Sie nicht das Feld „Standard“ links neben dem Namen des Werts.Do not select the Default box to the left of Value name.

      5. Werttyp: REG_DWORDValue type: REG_DWORD

      6. Wert: 1Value data: 1

        1. Klicken Sie auf die Registerkarte „Allgemein“, und wählen Sie Element entfernen, wenn es nicht mehr angewendet wird aus.Click the Common tab and select Remove this item when it is no longer applied.
        2. Wählen Sie auf der Registerkarte „Allgemein“ die Option Zielgruppenadressierung auf Elementebene, und klicken Sie dann auf Zielgruppenadressierung.On the Common tab select Item level targeting and click Targeting.
        3. Klicken Sie auf Neues Element, und wählen Sie die Option Sicherheitsgruppe aus.Click New Item and select Security group.
        4. Wählen Sie die Schaltfläche „...“ aus, und suchen Sie nach der Gruppe „PAW Users“.Select the "..." button and browse for the PAW Users group.
        5. Klicken Sie auf Neues Element, und wählen Sie die Option Sicherheitsgruppe aus.Click New Item and select Security group.
        6. Wählen Sie die Schaltfläche „...“ aus, und suchen Sie nach der Gruppe Cloud Services-Administratoren.Select the "..." button and browse for the Cloud Services Admins group.
        7. Klicken Sie auf das Element Cloud Services-Administratoren, und klicken Sie auf Elementoptionen.Click on the Cloud Services Admins item and click Item Options.
        8. Wählen Sie Ist nicht aus.Select Is not.
        9. Klicken Sie im Fenster für die Zielgruppenadressierung auf OK.Click OK on the targeting window.
      7. Klicken Sie auf OK, um die ProxyServer-Gruppenrichtlinieneinstellung abzuschließen.Click OK to complete the ProxyServer group policy setting

    2. Wechseln Sie zu benutzerkonfiguration\preferences\windows-einstellungen\registry.Go to User Configuration\Preferences\Windows Settings\Registry. Klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie neu > Registrierungs Element , und konfigurieren Sie die folgenden Einstellungen:Right-click Registry, select New > Registry Item and configure the following settings:

      • Aktion: ErsetzenAction: Replace
      • Struktur: HKEY_CURRENT_USERHive: HKEY_CURRENT_USER
      • Schlüssel Pfad: Software\microsoft\windows\currentversion\internet SettingsKey Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings
        • Wertname: ProxyServerValue name: ProxyServer

          Hinweis

          Aktivieren Sie nicht das Feld „Standard“ links neben dem Namen des Werts.Do not select the Default box to the left of Value name.

        • Werttyp: REG_SZValue type: REG_SZ

        • Wert: 127.0.0.1:80Value data: 127.0.0.1:80

          1. Klicken Sie auf die Registerkarte Allgemein, und wählen Sie Element entfernen, wenn es nicht mehr angewendet wird aus.Click the Common tab and select Remove this item when it is no longer applied.
          2. Wählen Sie auf der Registerkarte Allgemein die Option Zielgruppenadressierung auf Elementebene, und klicken Sie dann auf Zielgruppenadressierung.On the Common tab select Item level targeting and click Targeting.
          3. Klicken Sie auf Neues Element, und wählen Sie die Sicherheitsgruppe aus.Click New Item and select security group.
          4. Wählen Sie die Schaltfläche „...“ aus, und fügen Sie die Gruppe „PAW Users“ hinzu.Select the "..." button and add the PAW Users group.
          5. Klicken Sie auf Neues Element, und wählen Sie die Sicherheitsgruppe aus.Click New Item and select security group.
          6. Wählen Sie die Schaltfläche „...“ aus, und suchen Sie nach der Gruppe Cloud Services-Administratoren.Select the "..." button and browse for the Cloud Services Admins group.
          7. Klicken Sie auf das Element Cloud Services-Administratoren, und klicken Sie auf Elementoptionen.Click on the Cloud Services Admins item and click Item Options.
          8. Wählen Sie Ist nicht aus.Select Is not.
          9. Klicken Sie im Fenster für die Zielgruppenadressierung auf OK.Click OK on the targeting window.
    3. Klicken Sie auf OK, um die ProxyServer-Gruppenrichtlinieneinstellung abzuschließen.Click OK to complete the ProxyServer group policy setting,

  2. Wechseln Sie zu "Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-komponents\internet Explorer", und aktivieren Sie die folgenden Optionen.Go to User Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer, and enable the options below. Diese Einstellungen verhindern, dass Administratoren die Proxyeinstellungen manuell überschreiben können.These settings will prevent the administrators from manually overriding the proxy settings.
    1. Aktivieren Sie die Option Änderung der Einstellungen für automatische Konfiguration deaktivieren.Enable the Disable changing Automatic Configuration settings.
    2. Aktivieren Sie die Option Änderung der Proxyeinstellungen verhindern.Enable the Prevent changing proxy settings.

Einschränken der Anmeldung von Administratoren auf Hosts auf niedrigerer EbeneRestrict Administrators from logging onto lower tier hosts

In diesem Abschnitt konfigurieren Sie Gruppenrichtlinien, um zu verhindern, dass Administratorkonten mit hohen Berechtigungen sich bei Hosts auf niedrigerer Ebene anmelden können.In this section, we will configure group policies to prevent privileged administrative accounts from logging onto lower tier hosts.

  1. Erstellen Sie das neue Gruppenrichtlinienobjekt Anmelden bei Arbeitsstation einschränken. Diese Einstellung verhindert, dass sich Administratorkonten der Ebenen 0 und 1 bei Standardarbeitsstationen anmelden können.Create the new Restrict Workstation Logon GPO - this setting will restrict Tier 0 and Tier 1 administrator accounts from logging onto standard workstations. Dieses GPO sollte mit der Organisationseinheit "Arbeitsstationen" der obersten Ebene verknüpft werden und über die folgenden Einstellungen verfügen:This GPO should be linked to the "Workstations" top-level OU and have the following settings:

    • Wählen Sie unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale richtlinien\benutzerverweis-zugriffs\anmelden als Batch Auftrag verweigern die Option Diese Richtlinien Einstellungen definieren aus, und fügen Sie die Gruppenebene 0 und Ebene 1 hinzuIn Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a batch job, select Define these policy settings and add the Tier 0 and Tier 1 groups:

      Enterprise Admins
      Domain Admins
      Schema Admins
      DOMAIN\Administrators
      Account Operators
      Backup Operators
      Print Operators
      Server Operators
      Domain Controllers
      Read-Only Domain Controllers
      Group Policy Creators Owners
      Cryptographic Operators
      

      Hinweis

      Integrierte Gruppen der Ebene 0 finden Sie unter Äquivalenz der Ebene 0, um weitere Informationen zu erhalten.Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

      Other Delegated Groups
      

      Hinweis

      Alle benutzerdefinierten Gruppen mit Gültigkeits Zugriff auf Ebene 0 finden Sie unter Äquivalenz der Ebene 0.Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

      Tier 1 Admins
      

      Hinweis

      Diese Gruppe wurde zuvor in Phase 1 erstellt.This Group was created earlier in Phase 1.

    • Wählen Sie unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale richtlinien\benutzerzugriffs\anmelden als Dienst verweigern die Option Diese Richtlinien Einstellungen definieren aus, und fügen Sie die Gruppen auf Ebene 0 und Ebene 1 hinzu:In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a service, select Define these policy settings and add the Tier 0 and Tier 1 groups:

      Enterprise Admins
      Domain Admins
      Schema Admins
      DOMAIN\Administrators
      Account Operators
      Backup Operators
      Print Operators
      Server Operators
      Domain Controllers
      Read-Only Domain Controllers
      Group Policy Creators Owners
      Cryptographic Operators
      

      Hinweis

      Hinweis: Integrierte Gruppen der Ebene 0 finden Sie unter Äquivalenz der Ebene 0, um weitere Informationen zu erhalten.Note: Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

      Other Delegated Groups
      

      Hinweis

      Hinweis: Alle benutzerdefinierten Gruppen mit Gültigkeits Zugriff auf Ebene 0 finden Sie unter Äquivalenz der Ebene 0.Note: Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

      Tier 1 Admins
      

      Hinweis

      Hinweis: Diese Gruppe wurde zuvor in Phase 1 erstellt.Note: This Group was created earlier in Phase 1

  2. Erstellen Sie das neue Gruppenrichtlinien Objekt zum Einschränken der Server Anmeldung . diese Einstellung schränkt Administrator Konten der Ebene 0 auf Server der Ebene 1 ein.Create the new Restrict Server Logon GPO - this setting will restrict Tier 0 administrator accounts from logging onto Tier 1 servers. Dieses GPO sollte mit der Organisationseinheit der obersten Ebene der Ebene 1 verknüpft werden und über die folgenden Einstellungen verfügen:This GPO should be linked to the "Tier 1 Servers" top-level OU and have the following settings:

    • Wählen Sie unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale richtlinien\benutzerverweis-zugriffs\anmelden als Batch Auftrag verweigern die Option Diese Richtlinien Einstellungen definieren , und fügen Sie die Gruppen der Ebene 0In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a batch job, select Define these policy settings and add the Tier 0 groups:

      Enterprise Admins
      Domain Admins
      Schema Admins
      DOMAIN\Administrators
      Account Operators
      Backup Operators
      Print Operators
      Server Operators
      Domain Controllers
      Read-Only Domain Controllers
      Group Policy Creators Owners
      Cryptographic Operators
      

      Hinweis

      Integrierte Gruppen der Ebene 0 finden Sie unter Äquivalenz der Ebene 0, um weitere Informationen zu erhalten.Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

      Other Delegated Groups
      

      Hinweis

      Alle benutzerdefinierten Gruppen mit Gültigkeits Zugriff auf Ebene 0 finden Sie unter Äquivalenz der Ebene 0.Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

    • Wählen Sie unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale richtlinien\benutzerzugriffs\anmelden als Dienst verweigern die Option Diese Richtlinien Einstellungen definieren aus, und fügen Sie die Gruppen der Ebene 0 hinzu:In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a service, select Define these policy settings and add the Tier 0 groups:

      Enterprise Admins
      Domain Admins
      Schema Admins
      DOMAIN\Administrators
      Account Operators
      Backup Operators
      Print Operators
      Server Operators
      Domain Controllers
      Read-Only Domain Controllers
      Group Policy Creators Owners
      Cryptographic Operators
      

      Hinweis

      Integrierte Gruppen der Ebene 0 finden Sie unter Äquivalenz der Ebene 0, um weitere Informationen zu erhalten.Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

      Other Delegated Groups
      

      Hinweis

      Alle benutzerdefinierten Gruppen mit Gültigkeits Zugriff auf Ebene 0 finden Sie unter Äquivalenz der Ebene 0.Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

    • Wählen Sie unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale richtlinien\benutzerverweis-zugriffs\lokal anmelden verweigern die Option Diese Richtlinien Einstellungen definieren und fügen Sie die Gruppen der Ebene 0In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on locally, select Define these policy settings and add the Tier 0 groups:

      Enterprise Admins
      Domain Admins
      Schema Admins
      DOMAIN\Administrators
      Account Operators
      Backup Operators
      Print Operators
      Server Operators
      Domain Controllers
      Read-Only Domain Controllers
      Group Policy Creators Owners
      Cryptographic Operators
      

      Hinweis

      Hinweis: Integrierte Gruppen der Ebene 0 finden Sie unter Äquivalenz der Ebene 0, um weitere Informationen zu erhalten.Note: Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

      Other Delegated Groups
      

      Hinweis

      Hinweis: Alle benutzerdefinierten Gruppen mit Gültigkeits Zugriff auf Ebene 0 finden Sie unter Äquivalenz der Ebene 0.Note: Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

Bereitstellen der PAW(s)Deploy your PAW(s)

Hinweis

Stellen Sie sicher, dass die Verbindung zwischen PAW und Netzwerk während des Buildprozesses des Betriebssystems getrennt ist.Ensure that the PAW is disconnected from the network during the operating system build process.

  1. Installieren Sie Windows 10 von den Installationsmedien aus vertrauenswürdiger Quelle, die Sie zuvor bezogen haben.Install Windows 10 using the clean source installation media that you obtained earlier.

    Hinweis

    Sie können das Microsoft Deployment Toolkit (MDT) oder ein anderes System zur automatisierten Bereitstellung von Images verwenden, um die PAW-Bereitstellung zu automatisieren. Sie müssen allerdings sicherstellen, dass der Buildprozess so vertrauenswürdig ist wie die PAW.You may use Microsoft Deployment Toolkit (MDT) or another automated image deployment system to automate PAW deployment, but you must ensure the build process is as trustworthy as the PAW. Angreifer suchen sich gezielt Unternehmensimages und -bereitstellungssysteme (z.B. ISOs, Bereitstellungspakete usw.) als Persistenzmechanismus aus , daher sollten keine bereits vorhandenen Bereitstellungssysteme oder Images verwendet werden.Adversaries specifically seek out corporate images and deployment systems (including ISOs, deployment packages, etc.) as a persistence mechanism so preexisting deployment systems or images should not be used.

    Wenn Sie die Bereitstellung der PAW automatisieren, müssen Sie Folgendes ausführen:If you automate deployment of the PAW, you must:

    • Erstellen Sie das System über Installationsmedien, die mithilfe der in Vertrauenswürdige Quelle für Installationsmedien beschriebenen Verfahren überprüft wurden.Build the system using installation media validated using the guidance in Clean Source for installation media.
    • Stellen Sie sicher, dass die Verbindung zwischen dem automatisierten Bereitstellungssystem und dem Netzwerk während des Buildprozesses des Betriebssystems getrennt ist.Ensure that the automated deployment system is disconnected from the network during the operating system build process.
  2. Legen Sie ein eindeutiges komplexes Kennwort für das lokale Administratorkonto fest.Set a unique complex password for the local Administrator account. Verwenden Sie kein Kennwort, das bereits für ein anderes Konto in der Umgebung verwendet wurde.Do not use a password that has been used for any other account in the environment.

    Hinweis

    Microsoft empfiehlt die Verwendung der Local Administrator Password Solution (LAPS), um lokale Administratorkennwörter für alle Arbeitsstationen einschließlich PAWs zu verwalten.Microsoft recommends using Local Administrator Password Solution (LAPS) to manage the local Administrator password for all workstations, including PAWs. Wenn Sie LAPS verwenden, stellen Sie sicher, dass Sie nur der Gruppe „PAW Maintenance“ die Berechtigung zum Lesen der über LAPS verwalteten Kennwörter für die PAWs erteilen.If you use LAPS, ensure that you only grant the PAW Maintenance group the right to read LAPS-managed passwords for the PAWs.

  3. Installieren Sie die Remoteserver-Verwaltungstools für Windows 10 mithilfe der Installationsmedien aus vertrauenswürdiger Quelle.Install Remote Server Administration Tools for Windows 10 using the clean source installation media.

  4. Konfigurieren von Windows Defender Exploit GuardConfigure Windows Defender Exploit Guard

    Hinweis

    Hinweise zur KonfigurationConfiguration guidance to follow

  5. Verbinden Sie die PAW mit dem Netzwerk.Connect the PAW to the network. Stellen Sie sicher, dass die PAW mit mindestens einem Domänencontroller eine Verbindung herstellen kann.Ensure that the PAW can connect to at least one Domain Controller (DC).

  6. Verwenden Sie ein Konto, das Mitglied der Gruppe „PAW Maintenance“ ist, und führen Sie auf der neu erstellten PAW folgenden PowerShell-Befehl aus, um die PAW in der entsprechenden Organisationseinheit zur Domäne hinzuzufügen:Using an account that is a member of the PAW Maintenance group, run the following PowerShell command from the newly-created PAW to join it to the domain in the appropriate OU:

    Add-Computer -DomainName Fabrikam -OUPath "OU=Devices,OU=Tier 0,OU=Admin,DC=fabrikam,DC=com"

    Ersetzen Sie die Verweise auf Fabrikam durch Ihren Domänennamen.Replace the references to Fabrikam with your domain name, as appropriate. Wenn Ihr Domänenname mehrere Ebenen umfasst (z.B. child.fabrikam.com), fügen Sie die zusätzlichen Namen mit dem Bezeichner „DC=“ in der Reihenfolge hinzu, in der sie im vollqualifizierten Domänennamen der Domäne angezeigt werden.If your domain name extends to multiple levels (e.g. child.fabrikam.com), add the additional names with the "DC=" identifier in the order in which they appear in the domain's fully-qualified domain name.

    Hinweis

    Wenn Sie eine Administrative ESAE-Gesamtstruktur (für Administratoren auf Ebene 0 in Phase 1) oder eine PAM-Lösung (Privileged Access Management) in Microsoft Identity Manager (MIM) (für Administratoren der Ebenen 1 und 2 in Phase 2) bereitgestellt haben, fügen Sie die PAW zur Domäne in dieser Umgebung anstatt zur Produktionsdomäne hinzu.If you have deployed an ESAE Administrative Forest (for Tier 0 admins in Phase 1) or a Microsoft Identity Manager (MIM) privileged access management (PAM) (for Tier 1 and 2 admins in Phase 2), you would join the PAW to the domain in that environment here instead of the production domain.

  7. Wenden Sie alle kritischen und wichtigen Windows-Updates an, bevor Sie andere Softwareanwendungen (z.B. Verwaltungstools, Agents usw.) installieren.Apply all critical and important Windows Updates before installing any other software (including administrative tools, agents, etc.).

  8. Erzwingen Sie die Anwendung der Gruppenrichtlinie.Force the Group Policy application.

    1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und geben Sie den folgenden Befehl ein: Gpupdate /force /syncOpen an elevated command prompt and enter the following command: Gpupdate /force /sync
    2. Starten Sie den Computer neu.Restart the computer
  9. Optionale Installieren Sie weitere erforderliche Tools für Active Directory Administratoren.(Optional) Install additional required tools for Active Directory Admins. Installieren Sie weitere Tools oder Skripts, die zur Ausführung von beruflichen Aufgaben benötigt werden.Install any other tools or scripts required to perform job duties. Stellen Sie sicher, dass Sie das Risiko bewerten, das mit dem Verfügbarmachen von Anmeldeinformationen auf den Zielcomputern mit einem beliebigen Tool einhergeht, bevor Sie das Tool auf einer PAW installieren.Ensure to evaluate the risk of credential exposure on the target computers with any tool before adding it to a PAW. Auf dieser Seite erhalten Sie weitere Informationen zur Bewertung des Risikos für Anmeldeinformationen durch Verwaltungstools und Verbindungsmethoden.Access this page to obtain more information on evaluating administrative tools and connection methods for credential exposure risk. Stellen Sie sicher, dass beim Beziehen sämtlicher Installationsmedien die in Vertrauenswürdige Quelle für Installationsmedien beschriebenen Verfahren angewendet werden.Ensure to obtain all installation media using the guidance in Clean Source for installation media.

    Hinweis

    Die Verwendung eines Sprungbrettservers als zentralen Speicherort für diese Tools kann die Komplexität reduzieren, auch wenn der Server nicht als Sicherheitsgrenze dient.Using a jump server for a central location for these tools can reduce complexity, even if it doesn't serve as a security boundary.

  10. Optionale Herunterladen und Installieren der erforderlichen Remote Zugriffssoftware.(Optional) Download and install required remote access software. Wenn Administratoren die PAW zur Remoteverwaltung verwenden, installieren Sie die Remotezugriffssoftware, und beachten Sie die entsprechenden Sicherheitsinformationen Ihres Anbieters der Remotezugriffssoftware.If administrators will be using the PAW remotely for administration, install the remote access software using security guidance from your remote access solution vendor. Stellen Sie sicher, dass beim Beziehen sämtlicher Installationsmedien die in „Vertrauenswürdige Quelle für Installationsmedien“ beschriebenen Verfahren angewendet werden.Ensure to obtain all installation media using the guidance in Clean Source for installation media.

    Hinweis

    Berücksichtigen Sie sorgfältig alle Risiken, die bei der Ermöglichung des Remote Zugriffs über eine PW anfallen.Carefully consider all the risks involved in allowing remote access via a PAW. Eine mobile PAW ermöglicht zwar viele wichtige Szenarien, beispielsweise das Arbeiten von zu Hause, allerdings ist Remotezugriffssoftware potenziell anfällig für Angriffe und kann eine PAW gefährden.While a mobile PAW enables many important scenarios, including work from home, remote access software can potentially be vulnerable to attack and used to compromise a PAW.

  11. Überprüfen Sie die Integrität des PAW-Systems, indem Sie folgende Schritte durchführen, um die Einstellungen zu prüfen und zu bestätigen, dass alle Einstellungen ordnungsgemäß eingerichtet sind:Validate the integrity of the PAW system by reviewing and confirming that all appropriate settings are in place using the steps below:

    1. Vergewissern Sie sich, dass nur die PAW-spezifischen Gruppenrichtlinien auf die PAW angewendet wurden.Confirm that only the PAW-specific group policies are applied to the PAW
      1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und geben Sie den folgenden Befehl ein: Gpresult /scope computer /rOpen an elevated command prompt and enter the following command: Gpresult /scope computer /r
      2. Überprüfen Sie die ausgegebene Liste, und stellen Sie sicher, dass nur diejenigen Gruppenrichtlinien angezeigt werden, die Sie weiter oben selbst erstellt haben.Review the resulting list and ensure that the only group policies that appear are the ones you created above.
    2. Vergewissern Sie sich mithilfe der folgenden Schritte, dass keine anderen Benutzerkonten Mitglied von privilegierten Gruppen auf der PAW sind:Confirm that no additional user accounts are members of privileged groups on the PAW using the steps below:
      1. Öffnen Sie Lokale Benutzer und Gruppen bearbeiten (lusrmgr.msc), wählen Sie Gruppen aus, und vergewissern Sie sich, dass das lokale Administratorkonto und die globale Sicherheitsgruppe „PAW Maintenance“ die einzigen Mitglieder der lokalen Administratorengruppe sind.Open Edit Local Users and Groups (lusrmgr.msc), select Groups, and confirm that the only members of the local Administrators group are the local Administrator account and the PAW Maintenance global security group.

        Hinweis

        Die Gruppe „PAW Users“ darf kein Mitglied der lokalen Administratorengruppe sein.The PAW Users group should not be a member of the local Administrators group. Als einzige Mitglieder zulässig sind das lokale Administratorkonto und die globale Sicherheitsgruppe „PAW Maintenance“ (und die Gruppe „PAW Users“ darf auch kein Mitglied dieser globalen Gruppe sein).The only members should be the local Administrator account and the PAW Maintenance global security group (and PAW Users should not be a member of that global group either).

      2. Stellen Sie, ebenfalls mithilfe von Lokale Benutzer und Gruppen bearbeiten, sicher, dass die folgenden Gruppen keine Mitglieder enthalten: Sicherungs Operatoren kryptografieoperatoren Hyper-V-Administratoren Netzwerkkonfigurations-Operatoren Powerusers Remotedesktop ReplikatorAlso using Edit Local Users and Groups, ensure that the following groups have no members: Backup Operators Cryptographic Operators Hyper-V Administrators Network Configuration Operators Power Users Remote Desktop Users Replicators

  12. Optionale Wenn in Ihrer Organisation eine Siem-Lösung (Security Information and Eventmanagement) verwendet wird, müssen Sie sicherstellen, dass die PW zum Weiterleiten von Ereignissen an das System mithilfe der Windows-Ereignis Weiterleitung (Windows Event Forwarding, WEF) konfiguriert ist oder andernfalls bei der Lösung registriert ist, sodass Siem aktives empfangen von Ereignissen und Informationen von der PW.(Optional) If your organization uses a security information and event management (SIEM) solution, ensure that the PAW is configured to forward events to the system using Windows Event Forwarding (WEF) or is otherwise registered with the solution so that the SIEM is actively receiving events and information from the PAW. Die Details dieses Vorgangs variieren basierend auf Ihrer SIEM-Lösung.The details of this operation will vary based on your SIEM solution.

    Hinweis

    Wenn Ihre SIEM-Lösung einen Agent erfordert, der auf den PAWs mit einem Systemadministratorkonto oder einem lokalen Administratorkonto ausgeführt wird, stellen Sie sicher, dass die SIEM-Lösung auf der gleichen Vertrauensebene verwaltet wird wie Ihre Domänencontroller und Identitätssysteme.If your SIEM requires an agent which runs as system or a local administrative account on the PAWs, ensure that the SIEMs are managed with the same level of trust as your domain controllers and identity systems.

  13. Optionale Wenn Sie für die Verwaltung des Kennworts für das lokale Administrator Konto auf Ihrer PW-Bereitstellung runden ausgewählt haben, vergewissern Sie sich, dass das Kennwort erfolgreich registriert wurde.(Optional) If you chose to deploy LAPS to manage the password for the local Administrator account on your PAW, verify that the password is registered successfully.

    • Verwenden Sie ein Konto, das über Berechtigungen zum Lesen von über LAPS verwalteten Kennwörtern verfügt, und öffnen Sie Active Directory-Benutzer und -Computer (dsa.msc).Using an account with permissions to read LAPS-managed passwords, open Active Directory Users and Computers (dsa.msc). Stellen Sie sicher, dass die erweiterten Funktionen aktiviert sind, und klicken Sie mit der rechten Maustaste auf das entsprechende Computerobjekt.Ensure that Advanced Features is enabled, and then right-click the appropriate computer object. Wählen Sie die Registerkarte „Attribut-Editor“ aus, und vergewissern Sie sich, dass der Wert für msSVSadmPwd mit einem gültigen Kennwort aufgefüllt ist.Select the Attribute Editor tab and confirm that the value for msSVSadmPwd is populated with a valid password.

Phase 2: Erweitern von "PW" auf alle AdministratorenPhase 2: Extend PAW to all administrators

Umfang: Alle Benutzer mit Administratorrechten für unternehmenskritische Anwendungen und Abhängigkeiten.Scope: All users with administrative rights over mission-critical applications and dependencies. Hierzu sollten mindestens die Administratoren von Anwendungsservern, Lösungen zur Überwachung der betrieblichen Stabilität und Sicherheit, Virtualisierungslösungen, Speichersystemen und Netzwerkgeräten gehören.This should include at least administrators of application servers, operational health and security monitoring solutions, virtualization solutions, storage systems, and network devices.

Hinweis

Bei den Anweisungen in dieser Phase wird vorausgesetzt, dass Phase 1 vollständig abgeschlossen ist.The instructions in this phase assume that Phase 1 has been completed in its entirety. Starten Sie Phase 2 erst, wenn Sie alle Schritte in Phase 1 abgeschlossen haben.Do not begin Phase 2 until you have completed all the steps in Phase 1.

Sobald Sie sich vergewissert haben, dass alle Schritte vollständig abgeschlossen wurden, führen Sie die unten stehenden Schritte für Phase 2 durch:Once you confirm that all steps were done, perform the steps below to complete Phase 2:

Aktivieren Sie dieses Feature für vorhandene Server und Arbeitsstationen, und erzwingen Sie dann die Verwendung dieses Features.Enable this feature on your existing servers and workstations, then enforce the use of this feature. Diese Funktion erfordert, dass auf den Ziel Servern Windows Server 2008 R2 oder höher ausgeführt wird und Ziel Arbeitsstationen Windows 7 oder höher ausführen müssen.This feature will require the target servers to be running Windows Server 2008 R2 or later and target workstations to be running Windows 7 or later.

  1. Aktivieren Sie den Modus RestrictedAdmin auf Ihren Servern und Arbeitsstationen, indem Sie die Anweisungen auf dieser Seite befolgen.Enable RestrictedAdmin mode on your servers and workstations by following the instructions available in this page.

    Hinweis

    Bevor Sie diese Funktion für Server mit Internetzugang aktivieren, erwägen Sie das Risiko, dass Angreifer sich mit einem zuvor gestohlenen Kennworthash auf diesen Servern authentifizieren können.Before enabling this feature for internet facing servers, you should consider the risk of adversaries being able to authenticate to these servers with a previously-stolen password hash.

  2. Erstellen Sie das Gruppenrichtlinienobjekt „RestrictedAdmin erforderlich – Computer“.Create "RestrictedAdmin Required - Computer" group policy object (GPO). In diesem Abschnitt wird ein Gruppenrichtlinienobjekt erstellt, das die Verwendung der Option „/RestrictedAdmin“ für ausgehende Remotedesktopverbindungen erzwingt, um die Konten vor dem Risiko durch gestohlene Anmeldeinformationen auf den Zielsystemen zu schützen.This section creates a GPO which enforces the use of the /RestrictedAdmin switch for outgoing Remote Desktop connections, protecting accounts from credential theft on the target systems

    • Wechseln Sie zu „Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Delegierung von Anmeldeinformationen\Delegierung von Anmeldeinformationen an Remoteserver einschränken“, und legen Sie die Einstellung auf Aktiviert fest.Go to Computer Configuration\Policies\Administrative Templates\System\Credentials Delegation\Restrict delegation of credentials to remote servers and set to Enabled.
  3. Verknüpfen Sie RestrictedAdmin erforderlich – Computer mit den jeweiligen Geräten auf Ebene 1 und/oder Ebene 2, und verwenden Sie dabei die folgenden Richtlinienoptionen:Link the RestrictedAdmin Required - Computer to the appropriate Tier 1 and/or Tier 2 Devices by using the Policy options below:

    • PAW-Konfiguration – ComputerPAW Configuration - Computer
      • -> Link Speicherort: Admin\Tier 0\Devices (vorhanden)-> Link Location: Admin\Tier 0\Devices (Existing)
    • PAW-Konfiguration – BenutzerPAW Configuration - User
      • -> Link Speicherort: Admin\tier 0 \ Konten-> Link Location: Admin\Tier 0\Accounts
    • RestrictedAdmin erforderlich – ComputerRestrictedAdmin Required - Computer
      • -> admin\tier1\devices oder-> admin\tier2\devices (beides sind optional)->Admin\Tier1\Devices or -> Admin\Tier2\Devices (Both are optional)

    Hinweis

    Dies ist für Systeme auf Ebene 0 nicht erforderlich, da diese Systeme bereits über Vollzugriff auf alle Assets in der Umgebung verfügen.This is not necessary for Tier 0 systems as these systems are already in full control of all assets in the environment.

Verschieben Sie Objekte der Ebene 1 in die entsprechenden Organisationseinheiten.Move Tier 1 Objects to the appropriate OUs

  1. Verschieben Sie Gruppen der Ebene 1 in die OE „Admin\Tier 1\Groups“.Move Tier 1 groups To the Admin\Tier 1\Groups OU. Suchen Sie alle Gruppen, die die folgenden administrativen Berechtigungen gewähren, und verschieben Sie sie in diese OE.Locate all groups that grant the following administrative rights and move them to this OU.

    • Lokaler Administrator auf mehreren ServernLocal administrator on more than one server
      • Administratorzugriff auf ClouddiensteAdministrative Access to cloud services
      • Administratorzugriff auf UnternehmensanwendungenAdministrative Access to enterprise applications
  2. Verschieben Sie Konten auf Ebene 1 in die OE „Admin\Tier 1\Accounts“.Move Tier 1 accounts to the Admin\Tier 1\Accounts OU. Verschieben Sie jedes Konto, das Mitglied dieser Gruppen auf Ebene 1 ist (einschließlich geschachtelter Mitgliedschaften), in diese OE.Move each account that is a member of those Tier 1 groups (including nested membership) to this OU.

  3. Hinzufügen der geeigneten Mitglieder zu den jeweiligen GruppenAdd the appropriate members to the relevant groups

    • Tier 1 Admins: Diese Gruppe enthält die Administratoren auf Ebene 1, die sich nicht bei Hosts auf Ebene 2 anmelden dürfen.Tier 1 Admins - This group will contain the Tier 1 Admins that will be restricted from logging onto Tier 2 hosts. Fügen Sie alle Administrator Gruppen der Ebene 1 hinzu, die über Administratorrechte für Server oder Internetdienste verfügen.Add all your Tier 1 administrative groups that have administrative privileges over servers or internet services.

      Hinweis

      Wenn es zu den Aufgaben eines Verwaltungsmitarbeiters gehört, Assets auf mehreren Ebenen zu verwalten, müssen Sie für jede Ebene ein separates Administratorkonto erstellen.If administrative personnel have duties to manage assets at multiple tiers, you will need to create a separate admin account per tier.

  4. Aktivieren Sie Credential Guard, um das Risiko zu senken, dass Anmeldeinformationen gestohlen und wiederverwendet werden.Enable Credential Guard to reduce risk of credential theft and reuse. Credential Guard ist ein neues Feature von Windows 10, das den Zugriff von Anwendungen auf Anmeldeinformationen einschränkt, um Angriffe durch Diebstahl von Anmeldeinformationen (z.B. Pass-the-Hash) zu verhindern.Credential Guard is a new feature of Windows 10 that restricts application access to credentials, preventing credential theft attacks (including Pass-the-Hash). Credential Guard ist für den Endbenutzer vollständig transparent, und die Einrichtung erfordert nur wenig Zeit und Aufwand.Credential Guard is completely transparent to the end user and requires minimal setup time and effort. Weitere Informationen zu Credential Guard einschließlich der Bereitstellungsschritte und Hardwarevoraussetzungen finden Sie im Artikel Schützen von Domänenanmeldeinformationen mit Credential Guard.For further information on Credential Guard, including deployment steps and hardware requirements, please refer to the article, Protect domain credentials with Credential Guard.

    Hinweis

    Um Credential Guard konfigurieren und verwenden zu können, muss Device Guard aktiviert sein.Device Guard must be enabled in order to configure and use Credential Guard. Sie müssen aber keine weiteren Device Guard-Schutzfunktionen konfigurieren, um Credential Guard verwenden zu können.However, you are not required to configure any other Device Guard protections in order to use Credential Guard.

  5. Optionale Aktivieren Sie die Verbindung mit Cloud Services.(Optional) Enable Connectivity to Cloud Services. Dieser Schritt ermöglicht die Verwaltung von Clouddiensten wie Azure und Office 365 mit geeigneten Sicherheitsmaßnahmen.This step allows management of cloud services like Azure and Office 365 with appropriate security assurances. Dieser Schritt ist auch erforderlich, damit die PAWs über Microsoft Intune verwaltet werden können.This step is also required for Microsoft Intune to manage the PAWs.

    Hinweis

    Überspringen Sie diesen Schritt, wenn Sie für die Verwaltung von Clouddiensten oder die Verwaltung über Intune keine Cloudkonnektivität benötigen.Skip this step if no cloud connectivity is required for administration of cloud services or management by Intune.

    • Diese Schritte beschränken die Kommunikation über das Internet ausschließlich auf autorisierte Clouddienste (Kommunikation mit dem offenen Internet ist nicht möglich) und fügen Schutzmaßnahmen für die Browser und andere Anwendungen hinzu, die Inhalte aus dem Internet verarbeiten.These steps will restrict communication over the internet to only authorized cloud services (but not the open internet) and add protections to the browsers and other applications that will process content from the internet. Diese PAWs für die Verwaltung sollten niemals für Standardbenutzeraufgaben wie Internetkommunikation und Produktivitätsanwendungen verwendet werden.These PAWs for administration should never be used for standard user tasks like internet communications and productivity.
    • Um Verbindungen mit PAW-Diensten zu aktivieren, führen Sie die folgenden Schritte aus:To enable connectivity to PAW services follow the steps below:
    1. Konfigurieren Sie die PAW so, dass nur autorisierte Internetziele zugelassen werden.Configure PAW to allow only authorized Internet destinations. Wenn Sie Ihre PAW-Bereitstellung auf die Verwaltung in der Cloud erweitern, müssen Sie den Zugang zu autorisierten Diensten zulassen und gleichzeitig den Zugriff aus dem offenen Internet unterbinden, da ein solcher Zugriff potenzielle Angriffe auf Ihre Administratorkonten vereinfacht.As you extend your PAW deployment to enable cloud administration, you need to allow access to authorized services while filtering out access from the open internet where attacks can more easily be mounted against your admins.

      1. Erstellen Sie Cloud Services Admins -Gruppe, und fügen Sie alle Konten hinzu, die Zugriff auf Cloud-Dienste im Internet benötigen.Create Cloud Services Admins group and add all the accounts to it that require access to cloud services on the internet.

      2. Laden Sie die PAW-Datei proxy.pac aus der TechNet-Galerie herunter, und veröffentlichen Sie sie auf einer internen Website.Download the PAW proxy.pac file from TechNet Gallery and publish it on an internal website.

        Hinweis

        Sie müssen die Datei proxy.pac nach dem Herunterladen aktualisieren, um sicherzustellen, dass sie aktuell und vollständig ist.You will need to update the proxy.pac file after downloading to ensure that it is up-to-date and complete.
        Microsoft veröffentlicht alle aktuellen Office 365- und Azure-URLs im Supportcenter für Office.Microsoft publishes all current Office 365 and Azure URLs in the Office Support Center. Bei dieser Anleitung wird davon ausgegangen, dass Sie Internet Explorer (oder Microsoft Edge) für die Verwaltung von Office 365, Azure und anderen Clouddiensten verwenden.These instructions assume that you will be using Internet Explorer (or Microsoft Edge) for administration of Office 365, Azure, and other cloud services. Microsoft empfiehlt, ähnliche Einschränkungen für Drittanbieterbrowser zu konfigurieren, die Sie für die Verwaltung benötigen.Microsoft recommends configuring similar restrictions for any 3rd party browsers that you require for administration. Webbrowser sollten auf PAWs nur zur Verwaltung von Clouddiensten verwendet werden, niemals zum allgemeinen Webbrowsen.Web browsers on PAWs should only be used for administration of cloud services, and never for general web browsing.

        Möglicherweise müssen Sie der Liste weitere gültige Internetziele für andere IaaS-Anbieter hinzufügen. Fügen Sie jedoch keine Produktivitäts-, Unterhaltungs-, Nachrichten- oder Suchwebsites zu dieser Liste hinzu.You may need to add other valid Internet destinations to add to this list for other IaaS provider, but do not add productivity, entertainment, news, or search sites to this list.

        Möglicherweise müssen Sie auch die PAC-Datei um eine gültige Proxyadresse zur Verwendung mit diesen Adressen ergänzen.You may also need to adjust the PAC file to accommodate a valid proxy address to use for these addresses.

        Sie können den Zugriff von der PAW auch einschränken, indem Sie zur umfassenden Verteidung außerdem einen Webproxy einsetzen.You can also restrict access from the PAW using a web proxy as well for defense in depth. Es wird nicht empfohlen, diese Vorgehensweise ohne PAC-Datei zu verwenden, da hierbei der Zugriff für PAWs nur beschränkt wird, wenn eine Verbindung mit dem Unternehmensnetzwerk besteht.We don't recommend using this by itself without the PAC file as it will only restrict access for PAWs while connected to the corporate network.

      3. Sobald Sie die Datei proxy.pac konfiguriert haben, aktualisieren Sie das Gruppenrichtlinienobjekt „PAW-Konfiguration – Benutzer“.Once you have configured the proxy.pac file, update the PAW Configuration - User GPO.

        1. Wechseln Sie zu benutzerkonfiguration\preferences\windows-einstellungen\registry.Go to User Configuration\Preferences\Windows Settings\Registry. Klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie neu > Registrierungs Element , und konfigurieren Sie die folgenden Einstellungen:Right-click Registry, select New > Registry Item and configure the following settings:
          1. Aktion: ErsetzenAction: Replace

          2. Struktur: HKEY_ CURRENT_USERHive: HKEY_ CURRENT_USER

          3. Schlüssel Pfad: Software\microsoft\windows\currentversion\internet SettingsKey Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings

          4. Wertname: AutoConfigUrlValue name: AutoConfigUrl

            Hinweis

            Aktivieren Sie nicht das Feld Standard links neben dem Namen des Werts.Do not select the Default box to the left of Value name.

          5. Werttyp: REG_SZValue type: REG_SZ

          6. Wertdaten: Geben Sie die gesamte URL zur Proxy. PAC -Datei ein, einschließlich http://und den Dateinamen, z. b. http://proxy.fabrikam.com/proxy.pac.Value data: enter the complete URL to the proxy.pac file, including http:// and the file name - for example http://proxy.fabrikam.com/proxy.pac. Die URL kann auch eine URL mit einer einzelnen Bezeichnung sein, z. b. http://proxy/proxy.pacThe URL can also be a single-label URL - for example, http://proxy/proxy.pac

            Hinweis

            Die PAC-Datei kann auch auf einer Dateifreigabe gehostet werden, die Syntax lautet: file://server.fabrikan.com/share/proxy.pac. Hierfür muss aber das file://-Protokoll zugelassen werden.The PAC file can also be hosted on a file share, with the syntax of file://server.fabrikan.com/share/proxy.pac but this requires allowing the file:// protocol. Weitere Informationen finden Sie unter "Hinweis: File://-based Proxy Skripts wurden als veraltet markiert. Weitere Informationen zum Konfigurieren des erforderlichen Registrierungs Werts finden Sie im Abschnitt dieses Themas WebProxy-Konfigurations Blog.See the "NOTE: File://-based Proxy Scripts Deprecated" section of this Understanding Web Proxy Configuration blog for additional detail on configuring the required registry value.

          7. Klicken Sie auf die Registerkarte Allgemein, und wählen Sie Element entfernen, wenn es nicht mehr angewendet wird aus.Click the Common tab and select Remove this item when it is no longer applied.

          8. Wählen Sie auf der Registerkarte Allgemein die Option Zielgruppenadressierung auf Elementebene, und klicken Sie dann auf Zielgruppenadressierung.On the Common tab select Item level targeting and click Targeting.

          9. Klicken Sie auf Neues Element, und wählen Sie die Option Sicherheitsgruppe aus.Click New Item and select security group.

          10. Wählen Sie die Schaltfläche „...“ aus, und suchen Sie nach der Gruppe Cloud Services-Administratoren.Select the "..." button and browse for the Cloud Services Admins group.

          11. Klicken Sie auf Neues Element, und wählen Sie die Option Sicherheitsgruppe aus.Click New Item and select security group.

          12. Wählen Sie die Schaltfläche „...“ aus, und suchen Sie nach der Gruppe PAW Users.Select the "..." button and browse for the PAW Users group.

          13. Klicken Sie auf das Element PAW Users und dann auf Elementoptionen.Click on the PAW Users item and click Item Options.

          14. Wählen Sie Ist nicht aus.Select Is not.

          15. Klicken Sie im Fenster für die Zielgruppenadressierung auf OK.Click OK on the targeting window.

          16. Klicken Sie auf OK, um die AutoConfigUrl-Gruppenrichtlinieneinstellung abzuschließen.Click OK to complete the AutoConfigUrl group policy setting.

    2. Wenden Sie Windows 10-Sicherheitsbaselines und den Clouddienstzugriff an. Verknüpfen Sie die Sicherheitsbaselines für Windows und den Clouddienstzugriff (sofern erforderlich) mit den richtigen Organisationseinheiten. Führen Sie dazu folgende Schritte aus:Apply Windows 10 Security baselines and Cloud Service Access Link the security baselines for Windows and for cloud service access (if required) to the correct OUs using the steps below:

      1. Extrahieren Sie den Inhalt der ZIP-Datei mit den Windows 10-Sicherheitsbaselines.Extract the contents of the Windows 10 Security Baselines ZIP file.

      2. Erstellen Sie die entsprechenden Gruppenrichtlinienobjekte, importieren Sie die Richtlinieneinstellungen, und erstellen Sie die Verknüpfungen gemäß der folgenden Tabelle.Create these GPOs, import the policy settings, and link per this table. Verknüpfen Sie jede Richtlinie mit jedem Speicherort, und stellen Sie sicher, dass die Reihenfolge der Tabelle entspricht (spätere Einträge in der Tabelle sollten später und mit höherer Priorität angewendet werden):Link each policy to each location and ensure the order follows the table (lower entries in table should be applied later and higher priority):

        PoliciesPolicies:

        CM Windows 10 – DomänensicherheitCM Windows 10 - Domain Security N/V – zum jetzigen Zeitpunkt nicht verknüpfenN/A - Do Not Link Now
        SCM Windows 10 TH2 – ComputerSCM Windows 10 TH2 - Computer Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        SCM Windows 10 TH2 – BitLockerSCM Windows 10 TH2- BitLocker Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        SCM Windows 10 – Credential GuardSCM Windows 10 - Credential Guard Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        SCM Internet Explorer – ComputerSCM Internet Explorer - Computer Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        PAW-Konfiguration – ComputerPAW Configuration - Computer Admin\Tier 0\Devices (vorhanden)Admin\Tier 0\Devices (Existing)
        Admin\Tier 1\Devices (neue Verknüpfung)Admin\Tier 1\Devices (New Link)
        Admin\Tier 2\Devices (neue Verknüpfung)Admin\Tier 2\Devices (New Link)
        RestrictedAdmin erforderlich – ComputerRestrictedAdmin Required - Computer Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        SCM Windows 10 – UserSCM Windows 10 - User Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        SCM Internet Explorer – BenutzerSCM Internet Explorer - User Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        PAW-Konfiguration – BenutzerPAW Configuration - User Admin\Tier 0\Devices (vorhanden)Admin\Tier 0\Devices (Existing)
        Admin\Tier 1\Devices (neue Verknüpfung)Admin\Tier 1\Devices (New Link)
        Admin\Tier 2\Devices (neue Verknüpfung)Admin\Tier 2\Devices (New Link)

        Hinweis

        Das Gruppenrichtlinienobjekt „CM Windows 10 – Domänensicherheit“ kann unabhängig von der PAW mit der Domäne verknüpft werden, wirkt sich jedoch auf die gesamte Domäne aus.The "SCM Windows 10 - Domain Security" GPO may be linked to the domain independently of PAW, but will affect the entire domain.

  6. Optionale Installieren Sie weitere erforderliche Tools für Administratoren der Ebene 1.(Optional) Install additional required tools for Tier 1 Admins. Installieren Sie weitere Tools oder Skripts, die zur Ausführung von beruflichen Aufgaben benötigt werden.Install any other tools or scripts required to perform job duties. Stellen Sie sicher, dass Sie das Risiko bewerten, das mit dem Verfügbarmachen von Anmeldeinformationen auf den Zielcomputern mit einem beliebigen Tool einhergeht, bevor Sie das Tool auf einer PAW installieren.Ensure to evaluate the risk of credential exposure on the target computers with any tool before adding it to a PAW. Auf dieser Seite erhalten Sie weitere Informationen zur Bewertung des Risikos für Anmeldeinformationen durch Verwaltungstools und Verbindungsmethoden.For more information on evaluating administrative tools and connection methods for credential exposure risk visit this page. Stellen Sie sicher, dass beim Beziehen sämtlicher Installationsmedien die in „Vertrauenswürdige Quelle für Installationsmedien“ beschriebenen Verfahren angewendet werden.Ensure to obtain all installation media using the guidance in Clean Source for installation media

  7. Identifizieren Sie die Software und Anwendungen, die für die Verwaltung benötigt werden, und beziehen Sie diese auf sichere Weise.Identify and safely obtain software and applications required for administration. Dieser Schritt ähnelt den entsprechenden Aufgaben in Phase 1, deckt aber einen umfassenderen Bereich ab, da mehr Anwendungen, Dienste und Systeme gesichert werden müssen.This is similar to the work performed in Phase 1, but with a broader scope due to the increased number of applications, services, and systems being secured.

    Hinweis

    Stellen Sie sicher, dass Sie diese neuen Anwendungen (einschließlich Webbrowser) schützen, indem Sie Sie in die von Windows Defender Exploit Guard bereitgestellten Schutzmaßnahmen einschließen.Ensure that you protect these new applications (including web browsers) by opting them into the protections provided by Windows Defender Exploit Guard.

    Beispiele für zusätzliche Software und Anwendungen:Examples of additional software and applications include:

    • Microsoft Azure PowerShellMicrosoft Azure PowerShell

    • Office 365 PowerShell (auch bekannt als Microsoft Online Services-Modul)Office 365 PowerShell (also known as Microsoft Online Services Module)

    • Auf der Microsoft Management Console (MMC) basierende Software für die Anwendungs- oder DienstverwaltungApplication or service management software based on the Microsoft Management Console

    • Proprietäre (nicht MMC-basierte) Software für die Anwendungs- oder DienstverwaltungProprietary (non-MMC-based) application or service management software

      Hinweis

      Viele Anwendungen, einschließlich einer Vielzahl von Clouddiensten, werden heute ausschließlich über Webbrowser verwaltet.Many applications are now exclusively managed via web browsers, including many cloud services. Dadurch sinkt zwar die Anzahl der Anwendungen, die auf einer PAW installiert werden müssen, gleichzeitig steigt aber auch das Risiko von Interoperabilitätsproblemen der Browser.While this reduces the number of applications which need to be installed on a PAW, it also introduces the risk of browser interoperability issues. Möglicherweise müssen Sie auf bestimmten PAW-Instanzen einen nicht von Microsoft stammenden Webbrowser bereitstellen, um die Verwaltung bestimmter Dienste zu ermöglichen.You may need to deploy a non-Microsoft web browser onto specific PAW instances to enable administration of specific services. Wenn Sie einen zusätzlichen Webbrowser bereitstellen, stellen Sie sicher, dass Sie das Prinzip der vertrauenswürdigen Quelle befolgen und den Browser gemäß den Sicherheitsinformationen des Herstellers sichern.If you do deploy an additional web browser, ensure that you follow all clean source principles and secure the browser according to the vendor's security guidance.

  8. Optionale Herunterladen und Installieren aller erforderlichen Verwaltungs-Agents(Optional) Download and install any required management agents.

    Hinweis

    Wenn Sie zusätzliche Verwaltungs-Agents installieren (für Überwachung, Sicherheit, Konfigurationsverwaltung usw.), müssen Sie unbedingt sicherstellen, dass den Verwaltungssystemen auf der gleichen Stufe vertraut wird wie den Domänencontrollern und Identitätssystemen.If you choose to install additional management agents (monitoring, security, configuration management, etc.), it is vital that you ensure the management systems are trusted at the same level as domain controllers and identity systems. Weitere Informationen hierzu finden Sie unter „Verwalten und Aktualisieren von PAWs“.See the Managing and Updating PAWs for additional guidance.

  9. Bewerten Sie Ihre Infrastruktur, um Systeme zu ermitteln, in denen die zusätzlichen Sicherheitsmaßnahmen erforderlich sind, die durch eine PAW bereitgestellt werden.Assess your infrastructure to identify systems which require the additional security protections provided by a PAW. Stellen Sie sicher, dass Sie genau wissen, welche Systeme geschützt werden müssen.Ensure that you know exactly which systems must be protected. Stellen Sie kritische Fragen zu den Ressourcen selbst:Ask critical questions about the resources themselves, such as:

    • Wo befinden sich die Zielsysteme, die verwaltet werden müssen?Where are the target systems which must be managed? Befinden sie sich an einem einzigen physischen Ort, oder sind sie mit einem klar definierten Subnetz verbunden?Are they collected in a single physical location, or connected to a single well-defined subnet?

    • Wie viele Systeme sind vorhanden?How many systems are there?

    • Sind diese Systeme von anderen Systemen abhängig (z.B. Virtualisierungs- oder Speichersystemen usw.)? Falls ja, wie werden diese Systeme verwaltet?Do these systems depend on other systems (virtualization, storage, etc.), and if so, how are those systems managed? Wie werden die kritischen Systeme für diese Abhängigkeiten verfügbar gemacht, und welche zusätzlichen Risiken bestehen durch diese Abhängigkeiten?How are the critical systems exposed to these dependencies, and what are the additional risks associated with those dependencies?

    • Wie kritisch sind die verwalteten Dienste, und mit welchen Verlusten ist zu rechnen, falls diese Dienste gefährdet sind?How critical are the services being managed, and what is the expected loss if those services are compromised?

      Hinweis

      Beziehen Sie Ihre Clouddienste in diese Bewertung ein. Angreifer zielen immer häufiger auf unsichere Cloudbereitstellungen ab, daher müssen Sie diese Dienste mit den gleichen Sicherheitsstandards verwalten wie Ihre unternehmenskritischen lokalen Anwendungen.Include your cloud services in this assessment - attackers increasingly target insecure cloud deployments, and it is vital that you administer those services as securely as you would your on-premises mission-critical applications.

      Verwenden Sie diese Bewertung, um Systeme zu identifizieren, die zusätzlichen Schutz benötigen, und erweitern Sie Ihr PAW-Programm auf die Administratoren dieser Systeme.Use this assessment to identify the specific systems which require additional protection, and then extend your PAW program to the administrators of those systems. SQL Server (sowohl lokal also auch SQL Azure), Anwendungen für Personalabteilungen und Finanzsoftware sind Beispiele für Systeme, denen die PAW-basierte Verwaltung erhebliche Vorteile bietet.Common examples of systems which benefit greatly from PAW-based administration include SQL Server (both on-premises and SQL Azure), human resources applications, and financial software.

      Hinweis

      Wenn eine Ressource über ein Windows-System verwaltet wird, kann sie auch mit einer PAW verwaltet werden, auch wenn die Anwendung selbst unter einem anderen Betriebssystem als Windows oder auf einer nicht von Microsoft stammenden Cloudplattform ausgeführt wird.If a resource is managed from a Windows system, it can be managed with a PAW, even if the application itself runs on an operating system other than Windows or on a non-Microsoft cloud platform. Beispielsweise sollte der Besitzer eines Amazon Web Services-Abonnements eine PAW nur für die Verwaltung dieses Kontos verwenden.For example, the owner of an Amazon Web Services subscription should only use a PAW to administer that account.

  10. Entwickeln Sie eine Anforderungs- und Verteilungsmethode zur Bereitstellung von PAWs in großem Umfang in Ihrer Organisation.Develop a request and distribution method for deploying PAWs at scale in your organization. Je nachdem, wie viele PAWs Sie in Phase 2 bereitstellen möchten, müssen Sie den Prozess möglicherweise automatisieren.Depending on the number of PAWs you choose to deploy in Phase 2, you may need to automate the process.

    • Ziehen Sie in Betracht, einen formellen Anforderungs- und Genehmigungsprozess für Administratoren zu entwickeln, den diese zum Erhalten einer PAW durchlaufen müssen.Consider developing a formal request and approval process for administrators to use to obtain a PAW. Mit einem solchen Prozess können Sie den Bereitstellungsprozess standardisieren, die Verantwortlichkeit für PAW-Geräte sicherstellen und Lücken bei der PAW-Bereitstellung identifizieren.This process would help standardize the deployment process, ensure accountability for PAW devices, and help identify gaps in PAW deployment.

    • Wie bereits erläutert, sollte diese Bereitstellungslösung von vorhandenen Automatisierungsmethoden (die möglicherweise bereits gefährdet sind) getrennt werden und den in Phase 1 beschriebenen Prinzipien folgen.As stated previously, this deployment solution should be separate from existing automation methods (which may have already been compromised) and should follow the principles outlined in Phase 1.

      Hinweis

      Jedes System, das zur Verwaltung von Ressourcen verwendet wird, sollte selbst auf der gleichen oder einer höheren Vertrauensebene verwaltet werden.Any system which manages resources should itself managed at the same or higher trust level.

  11. Überprüfen Sie die vorhandenen PAW-Hardwareprofile, und stellen Sie bei Bedarf zusätzliche bereit.Review and if necessary deploy additional PAW hardware profiles. Ein Hardwareprofil, das Sie für Phase 1 ausgewählt haben, eignet sich möglicherweise nicht für alle Administratoren.The hardware profile you chose for Phase 1 deployment may not be suitable for all administrators. Überprüfen Sie die Hardwareprofile, und wählen Sie ggf. zusätzliche Profile aus, um die Anforderungen der Administratoren zu erfüllen.Review the hardware profiles and if appropriate select additional PAW hardware profiles to match the needs of the administrators. Das Profil „Dedizierte Hardware“ (Trennung von PAWs und Arbeitsstationen für tägliche Aufgaben) eignet sich möglicherweise nicht für einen Administrator, der viel unterwegs ist. In diesem Fall sollten Sie für diesen Administrator das Profil „Gleichzeitige Verwendung“ bereitstellen (PAW mit Benutzer-VM).For example, the Dedicated Hardware profile (separate PAW and daily use workstations) may be unsuitable for an administrator who travels often - in this case, you might choose to deploy the Simultaneous Use profile (PAW with user VM) for that administrator.

  12. Berücksichtigen Sie die Anforderungen hinsichtlich Kultur, Betrieb, Kommunikation und Schulungsbedarf, die mit einer erweiterten PAW-Bereitstellung einhergehen.Consider the cultural, operational, communications, and training needs which accompany an extended PAW deployment. Eine so wesentliche Änderung an einem Verwaltungsmodell erfordert naturgemäß auch ein gewisses Maß an Change Management, und es ist wichtig, dieses in das Bereitstellungsprojekt selbst zu integrieren.Such a significant change to an administrative model will naturally require change management to some degree, and it is essential to build that into the deployment project itself. Beziehen Sie mindestens die folgenden Punkte in Ihre Planung ein:Consider at a minimum the following:

    • Wie kommunizieren Sie die Änderungen an die Führungsebene, um sich deren Unterstützung zu sichern?How will you communicate the changes to senior leadership to ensure their support? Ein Projekt, das nicht von den Führungskräften unterstützt wird, wird wahrscheinlich scheitern bzw. es wird zumindest schwierig, die notwendige Finanzierung und allgemeine Akzeptanz zu erhalten.Any project without senior leadership backing is likely to fail, or at the very least struggle for funding and broad acceptance.

    • Wie dokumentieren Sie den neuen Prozess für Administratoren?How will you document the new process for administrators? Diese Änderungen müssen dokumentiert und mitgeteilt werden, und zwar nicht nur den vorhandenen Administratoren (die ihre Gewohnheiten ändern und Ressource auf andere Weise verwalten müssen), sondern auch neuen Administratoren (die innerhalb der Organisation befördert oder neu eingestellt wurden).These changes must be documented and communicated not only to existing administrators (who must change their habits and manage resources in a different way), but also for new administrators (those promoted from within or hired from outside the organization). Die Dokumentation muss klar verständlich sein und die Bedeutung von Bedrohungen, die Rolle von PAWs für den Schutz der Administratoren und die richtige Verwendung der PAWs vollständig und ausführlich erläutern.It is essential that the documentation is clear and fully articulates the importance of the threats, PAW's role in protecting the admins, and how to use PAW correctly.

      Hinweis

      Dies ist insbesondere bei Rollen mit hoher Fluktuation sehr wichtig, z.B. bei Helpdeskmitarbeitern.This is especially important for roles with high turnover, including but not limited to help desk personnel.

    • Wie stellen Sie die Kompatibilität mit dem neuen Prozess sicher?How will you ensure compliance with the new process? Wenngleich das PW-Modell mehrere technische Kontrollen umfasst, um das verfügbar machen privilegierter Anmelde Informationen zu verhindern, ist es nicht möglich, alle möglichen verfügbar machung ausschließlich mithilfe technischer Kontrollen vollständig zu verhindernWhile the PAW model includes several technical controls to prevent the exposure of privileged credentials, it is impossible to fully prevent all possible exposure purely using technical controls. Ein Beispiel: Es lässt sich zwar verhindern, dass ein Administrator sich erfolgreich mit privilegierten Anmeldeinformationen an einem Benutzerdesktop anmeldet, aber schon der einfache Versuch einer solchen Anmeldung kann die Anmeldeinformationen für eine Schadsoftware verfügbar machen, die sich auf diesem Computer befindet.For example, although it is possible to prevent an administrator from successfully logging onto a user desktop with privileged credentials, the simple act of attempting the logon can expose the credentials to malware installed on that user desktop. Von daher ist es von essenzieller Bedeutung, dass Sie nicht nur die Vorteile des PAW-Modells aufzeigen, sondern auch die Risiken klar herausstellen, die durch Nichteinhaltung von Regeln und Anweisungen entstehen können.It is therefore essential that you articulate not only the benefits of the PAW model, but the risks of non-compliance. Ergänzen Sie dieses Konzept durch Überwachungs- und Warnungsfunktionen, sodass eine Offenlegung von Anmeldeinformationen schnell erkannt und behoben werden kann.This should be complemented by auditing and alerting so that credential exposure can be quickly detected and addressed.

Phase 3: Erweitern und Erweitern des SchutzesPhase 3: Extend and enhance protection

Umfang: Diese Schutzmaßnahmen verbessern die in Phase 1 erstellten Systeme und stärken den grundlegenden Schutz durch erweiterte Features einschließlich Multi-Factor Authentication und Netzwerk Zugriffsregeln.Scope: These protections enhance the systems built in Phase 1, bolstering the basic protection with advanced features including multi-factor authentication and network access rules.

Hinweis

Diese Phase kann jederzeit nach Abschluss von Phase 1 ausgeführt werden.This phase can be performed at any time after Phase 1 has been completed. Sie ist nicht von der Beendigung von Phase 2 abhängig, kann also vor, gleichzeitig mit oder nach Phase 2 erfolgen.It is not dependent on completion of Phase 2, and thus can be performed before, concurrent with, or after Phase 2.

Führen Sie die folgenden Schritte aus, um diese Phase zu konfigurieren:Follow the steps below to configure this phase:

  1. Aktivieren Sie Multi-Factor Authentication für privilegierte Konten.Enable multi-factor authentication for privileged accounts. Die mehrstufige Authentifizierung verstärkt die Kontosicherheit, da der Benutzer zusätzlich zu den Anmeldeinformationen auch ein physisches Token bereitstellen muss.Multi-factor authentication strengthens account security by requiring the user to provide a physical token in addition to credentials. Die mehrstufige Authentifizierung ist eine hervorragende Ergänzung zu Authentifizierungsrichtlinien, ihre Bereitstellung hängt aber nicht von Authentifizierungsrichtlinien ab (und umgekehrt ist für Authentifizierungsrichtlinien keine mehrstufige Authentifizierung erforderlich).Multi-factor authentication complements authentication policies extremely well, but it does not depend on authentication policies for deployment (and, similarly, authentication policies do not require multi-factor authentication). Microsoft empfiehlt die Verwendung einer der folgenden Formen der mehrstufigen Authentifizierung:Microsoft recommends using one of these forms of multi-factor authentication:

    • Smartcard: Eine Smartcard ist ein Manipulations geschütztes und portables physisches Gerät, das während des Windows-Anmeldevorgangs eine zweite Überprüfung bereitstellt.Smart card: A smart card is a tamper-resistant and portable physical device which provides a second verification during the Windows logon process. Indem Sie voraussetzen, dass ein Benutzer für die Anmeldung eine Karte besitzen und bereitstellen muss, können Sie das Risiko senken, dann gestohlene Anmeldeinformationen remote wiederverwendet werden.By requiring an individual to possess a card for logon, you can reduce the risk of stolen credentials being reused remotely. Einzelheiten zur Anmeldung an Windows mithilfe einer Smartcard finden Sie im Artikel Smartcard: Übersicht.For details on smart card logon in Windows, please refer to the article Smart Card Overview.
    • Virtuelle Smartcard: Eine virtuelle Smartcard bietet die gleichen Sicherheitsvorteile wie physische Smartcards, mit dem zusätzlichen Vorteil, dass Sie mit bestimmter Hardware verknüpft ist.Virtual smart card: A virtual smart card provides the same security benefits as physical smart cards, with the added benefit of being linked to specific hardware. Ausführliche Informationen zu den Bereitstellungs-und Hardwareanforderungen finden Sie in den Artikeln Übersicht über virtuelle Smartcards und [Erste Schritte mit virtuellen Smartcards: Leitfaden mit exemplarischen Vorgehensweisen @ no__t-0.For details on deployment and hardware requirements, please refer to the articles, Virtual Smart Card Overview and Get Started with Virtual Smart Cards: Walkthrough Guide.
    • Windows Hello for Business: Windows Hello for Business ermöglicht es Benutzern, sich bei einem Microsoft-Konto, einem Active Directory Konto, einem Microsoft Azure Active Directory Konto (Azure AD) oder einem nicht-Microsoft-Dienst zu authentifizieren, der die Fido-Authentifizierung (fast ID Online) unterstützt.Windows Hello for Business: Windows Hello for Business lets users authenticate to a Microsoft account, an Active Directory account, a Microsoft Azure Active Directory (Azure AD) account, or non-Microsoft service that supports Fast ID Online (FIDO) authentication. Nach einer anfänglichen zweistufigen Überprüfung während der Windows Hello for Business-Registrierung wird ein Windows Hello for Business auf dem Gerät des Benutzers eingerichtet, und der Benutzer legt eine Geste fest, bei der es sich um Windows Hello oder eine PIN handeln kann.After an initial two-step verification during Windows Hello for Business enrollment, a Windows Hello for Business is set up on the user's device and the user sets a gesture, which can be Windows Hello or a PIN. Windows Hello for Business-Anmelde Informationen sind ein asymmetrisches Schlüsselpaar, das in isolierten Umgebungen von Trusted Platform modules (TPMs) generiert werden kann.Windows Hello for Business credentials are an asymmetric key pair, which can be generated within isolated environments of Trusted Platform Modules (TPMs). Weitere Informationen zu Windows Hello for Business finden Sie im Artikel zu Windows Hello for Business .For more information on Windows Hello for Business read Windows Hello for Business article.
    • Azure Multi-Factor Authentication: Azure Multi-Factor Authentication (MFA) bietet die Sicherheit eines zweiten Überprüfungs Faktors sowie erweiterten Schutz durch Überwachung und Machine Learning-basierte Analyse.Azure multi-factor authentication: Azure multi-factor authentication (MFA) provides the security of a second verification factor as well as enhanced protection through monitoring and machine-learning-based analysis. Die Azure MFA bietet nicht nur Sicherheit und Schutz für Azure-Administratoren, sondern auch für viele weitere Lösungen, wie z.B. Webanwendungen, Azure Active Directory und lokale Lösungen wie Remotezugriff und Remotedesktop.Azure MFA can secure not only Azure administrators but many other solutions as well, including web applications, Azure Active Directory, and on-premises solutions like remote access and Remote Desktop. Weitere Informationen zur Azure Multi-Factor Authentication finden Sie im Artikel Multi-Factor Authentication.For more information on Azure multi-factor authentication, please refer to the article Multi-Factor Authentication.
  2. Whitelist vertrauenswürdiger Anwendungen mithilfe von Windows Defender Application Control und/oder AppLocker.Whitelist trusted applications using Windows Defender Application Control and/or AppLocker. Indem Sie die Möglichkeit einschränken, dass nicht vertrauenswürdiger oder nicht signierter Code auf einer PAW ausgeführt wird, können Sie die Wahrscheinlichkeit schädlicher Aktivitäten und Gefährdungen weiter verringern.By limiting the ability of untrusted or unsigned code to run on a PAW, you further reduce the likelihood of malicious activity and compromise. Windows bietet zwei primäre Optionen für die Anwendungssteuerung:Windows includes two primary options for application control:

    • AppLocker: Mit AppLocker können Administratoren steuern, welche Anwendungen auf einem bestimmten System ausgeführt werden können.AppLocker: AppLocker helps administrators control which applications can run on a given system. AppLocker kann über Gruppenrichtlinien zentral gesteuert und auf bestimmte Benutzer oder Gruppen angewendet werden (beispielsweise für eine bestimmte Zielanwendung auf die Benutzer einer PAW).AppLocker can be centrally controlled through group policy, and applied to specific users or groups (for targeted application to users of PAWs). Weitere Informationen zu AppLocker finden Sie im TechNet-Artikel Technische Übersicht über AppLocker.For more information on AppLocker, please refer to the TechNet article AppLocker Overview.
    • Windows Defender-Anwendungssteuerung: das neue Windows Defender-Anwendungs Steuerungs Feature bietet eine verbesserte hardwarebasierte Anwendungssteuerung, die im Gegensatz zu AppLocker auf dem betroffenen Gerät nicht überschrieben werden kann.Windows Defender Application Control: the new Windows Defender Application Control feature provides enhanced hardware-based application control which, unlike AppLocker, cannot be overridden on the impacted device. Wie AppLocker kann auch die Windows Defender-Anwendungssteuerung über eine Gruppenrichtlinie gesteuert werden, die auf bestimmte Benutzer ausgerichtet ist.Like AppLocker, Windows Defender Application Control can be controlled via group policy and targeted to specific users. Weitere Informationen zum Einschränken der Anwendungs Verwendung mit Windows Defender Application Control finden Sie im Bereitstellungs Handbuch für die Windows Defender-Anwendungssteuerung.For more information on restricting application usage with Windows Defender Application Control, please refer to Windows Defender Application Control Deployment Guide.
  3. Verwenden Sie die Gruppe „Geschützte Benutzer“, Authentifizierungsrichtlinien und Authentifizierungssilos, um privilegierte Konten zusätzlich zu schützen.Use Protected Users, Authentication Policies, and Authentication Silos to further protect privileged accounts. Für die Mitglieder der Gruppe „Geschützte Benutzer“ gelten zusätzliche Sicherheitsrichtlinien, welche die im lokalen Sicherheits-Agent (LSA) gespeicherten Anmeldeinformationen schützen und das Risiko des Diebstahls und der Wiederverwendung von Anmeldeinformationen deutlich senken.The members of Protected Users are subject to additional security policies which protect the credentials stored in the local security agent (LSA) and greatly minimize the risk of credential theft and reuse. Authentifizierungsrichtlinien und -silos steuern die Art und Weise, in der Benutzer mit bestimmten Berechtigungen auf Ressourcen in der Domäne zugreifen können.Authentication policies and silos control how privileged users can access resources in the domain. Bei gemeinsamem Einsatz stärken diese Schutzmaßnahmen die Kontosicherheit dieser Benutzer ganz erheblich.Collectively, these protections dramatically strengthen the account security of these privileged users. Weitere Informationen zu diesen Funktionen finden Sie im Webartikel Konfigurieren geschützter Konten.For additional details on these features, please refer to the web article How to Configure Protected Accounts.

    Hinweis

    Diese Schutzmaßnahmen sollen die vorhandenen Sicherheitsmaßnahmen in Phase 1 ergänzen, nicht ersetzen.These protections are meant to complement, not replace, existing security measures in Phase 1. Administratoren sollten weiterhin getrennte Konten für Verwaltung und allgemeine Nutzung verwenden.Administrators should still use separate accounts for administration and general use.

Verwalten und aktualisierenManaging and updating

PAWs müssen über Funktionen zum Schutz vor Schadsoftware verfügen, und Softwareupdates müssen schnell aufgespielt werden, um die Integrität dieser Arbeitsstationen zu erhalten.PAWs must have anti-malware capabilities and software updates must be rapidly applied to maintain integrity of these workstations.

Auf den PAWs können zusätzliche Tools für Konfigurationsverwaltung, Betriebsüberwachung und Sicherheitsverwaltung verwendet werden. Die Integration dieser Tools muss jedoch sorgfältig erwogen werden, da jede Verwaltungsfunktion das Risiko einer Gefährdung der PAW durch das verwendete Tool birgt.Additional configuration management, operational monitoring, and security management can also be used with PAWs, but the integration of these must be considered carefully because each management capability also introduces risk of PAW compromise through that tool. Ob es sinnvoll ist, erweiterte Verwaltungsfunktionen einzuführen, hängt von mehreren Faktoren ab, darunter:Whether it makes sense to introduce advanced management capabilities depends on several factors including:

  • Sicherheitsstatus und -verfahren des Verwaltungstools (z.B. Softwareupdateverfahren für das Tool, Administratorrollen und Konten in diesen Rollen, Betriebssysteme, unter denen das Tool gehostet oder verwaltet wird, sowie weitere Hardware- und Softwareabhängigkeiten des Tools)The security state and practices of the management capability (including software update practices for the tool, administrative roles and accounts in those roles, operating systems the tool is hosted on or managed from, and any other hardware or software dependencies of that tool)
  • Häufigkeit und Umfang von Softwarebereitstellungen und -updates auf den PAWsThe frequency and quantity of software deployments and updates on your PAWs
  • Anforderungen an detaillierte Bestands- und KonfigurationsinformationenRequirements for detailed inventory and configuration information
  • Anforderungen an die SicherheitsüberwachungSecurity monitoring requirements
  • Organisationsinterne Standards und weitere organisationsspezifische FaktorenOrganizational standards and other organizational-specific factors

Dem Prinzip der vertrauenswürdigen Quelle zufolge muss allen Tools, die zur Verwaltung oder Überwachung der PAWs verwendet werden, mindestens auf der Ebene der PAWs vertraut werden.Per the clean source principle, all tools used to manage or monitor the PAWs must be trusted at or above the level of the PAWs. Das erfordert im Allgemeinen, dass diese Tools über eine PAW verwaltet werden, um sicherzustellen, dass keine Sicherheitsabhängigkeiten von Arbeitsstationen mit niedrigeren Berechtigungen vorhanden sind.This typically requires those tools to be managed from a PAW to ensure no security dependency from lower privilege workstations.

Diese Tabelle erläutert die verschiedenen Vorgehensweisen, die zum Verwalten und Überwachen der PAWs verwendet werden können:This table outlines different approaches that may be used to manage and monitor the PAWs:

VorgehensweiseApproach ÜberlegungenConsiderations
Standardmäßig in PAWDefault in PAW

– Windows Server Update Services- Windows Server Update Services
– Windows Defender- Windows Defender
– Keine Zusatzkosten- No additional cost
– Führt erforderliche grundlegende Sicherheitsfunktionen aus- Performs basic required security functions
– Anweisungen in diesem Leitfaden enthalten- Instructions included in this guidance
Verwalten mit IntuneManage with Intune
  • Bietet cloudbasierte Transparenz und KontrolleProvides cloud based visibility and control

    • SoftwarebereitstellungSoftware Deployment
    • Verwaltung von Softwareupdateso Manage software updates
    • Verwaltung von Windows-Firewall-RichtlinienWindows Firewall policy management
    • MalwareschutzAnti-malware protection
    • RemoteunterstützungRemote assistance
    • Softwarelizenzverwaltung.Software license management.
  • Keine Serverinfrastruktur erforderlichNo server infrastructure required
  • Erfordert das Ausführen der Schritte zum Aktivieren von Verbindungen mit Clouddiensten in Phase 2Requires following "Enable Connectivity to Cloud Services" steps in Phase 2
  • Wenn der PAW-Computer keiner Domäne beigetreten ist, müssen mithilfe der im Download der Sicherheitsbaseline bereitgestellten Tools die SCM-Baselines auf die lokalen Images angewendet werden.If the PAW computer is not joined to a domain, this requires applying the SCM baselines to the local images using the tools provided in the security baseline download.
Neue System Center-Instanz(en) zum Verwalten der PAWsNew System Center instance(s) for managing PAWs – Bietet Transparenz und Kontrolle für Konfiguration, Softwarebereitstellung und Sicherheitsupdates- Provides visibility and control of configuration, software deployment, and security updates
– Erfordert eine separate Serverinfrastruktur, die auf Ebene der PAWs gesichert werden muss, sowie die notwendigen Qualifikationen der Mitarbeiter mit diesen weit reichenden Berechtigungen- Requires separate server infrastructure, securing it to level of PAWs, and staffing skills for those highly privileged personnel
Verwalten von PAWs mit vorhandenen VerwaltungstoolsManage PAWs with existing management tool(s) : Erstellt ein erhebliches Risiko für die Kompromittierung von Pfoten, es sei denn, die vorhandene Verwaltungsinfrastruktur wird auf die Sicherheitsstufe der Pfoten festgestellt: Diese Vorgehensweise wird von Microsoft grundsätzlich abgeraten, es sei denn, Ihre Organisation hat einen bestimmten Grund für die Verwendung.- Creates significant risk to compromise of PAWs unless the existing management infrastructure is brought up to security level of PAWs Note: Microsoft would generally discourage this approach unless your organization has a specific reason to use it. In unserer Obergrenze gibt es in der Regel sehr hohe Kosten, alle diese Tools (und Ihre Sicherheits Abhängigkeiten) auf die Sicherheitsstufe der Pfoten zu bringen.In our experience, there is typically a very high cost of bringing all these tools (and their security dependencies) up to the security level of the PAWs.
– Die meisten dieser Tools bieten Transparenz und Kontrolle für Konfiguration, Softwarebereitstellung und Sicherheitsupdates- Most of these tools provide visibility and control of configuration, software deployment, and security updates
Tools für Sicherheitsüberprüfung und -überwachung, die Administratorzugriff erfordernSecurity Scanning or monitoring tools requiring admin access Hierzu gehören alle Tools, die einen Agent installieren oder ein Konto mit lokalem Administratorzugriff erfordern.Includes any tool that installs an agent or requires an account with local administrative access.

– Tools müssen die gleiche Sicherheitsebene aufweisen wie die PAWs- Requires bringing tool security assurance up to level of PAWs.
– Möglicherweise muss die Sicherheitsebene der PAWs heruntergestuft werden, um die Funktionsweise der Tools zu unterstützen (Öffnen von Ports, Installieren von Java oder anderer Middleware usw.), wodurch über einen Kompromiss hinsichtlich der Sicherheit entschieden werden muss- May require lowering security posture of PAWs to support tool functionality (open ports, install Java or other middleware, etc.), creating a security trade-off decision,
SIEM-Lösung (Security Information and Event Management)Security information and event management (SIEM)
  • Wenn die SIEM-Lösung keinen Agent erfordert:If SIEM is agentless

    • Zugriff auf Ereignisse auf PAWs ist durch Verwenden eines Kontos in der Gruppe Ereignisprotokollleser auch ohne Administratorrechte möglichCan access events on PAWs without administrative access by using an account in the Event Log Readers group
    • Erfordert das Öffnen von Netzwerkports zum Zulassen von eingehendem Datenverkehr von den SIEM-ServernWill require opening up network ports to allow inbound traffic from the SIEM servers
  • Wenn SIEM einen Agent erfordert: Security Scanning or monitoring tools requiring admin accessIf SIEM requires an agent, see other row Security Scanning or monitoring tools requiring admin access.
Windows-EreignisweiterleitungWindows Event Forwarding – Stellt eine Methode ohne Agents zum Weiterleiten von Sicherheitsereignissen von den PAWs an einen externen Datensammler oder eine SIEM-Lösung bereit- Provides an agentless method of forwarding security events from the PAWs to an external collector or SIEM
– Zugriff auf Ereignisse auf den PAWs auch ohne Administratorrechte möglich- Can access events on PAWs without administrative access
– Öffnen von Netzwerkports zum Zulassen von eingehendem Datenverkehr von den SIEM-Servern nicht erforderlich- Does not require opening up network ports to allow inbound traffic from the SIEM servers

Betrieb der PAWsOperating PAWs

Die PAW-Lösung sollte gemäß den Standards unter Prinzip der vertrauenswürdigen Quelle für betriebliche Standards betrieben werden.The PAW solution should be operated using the standards in Operational Standards based on Clean Source Principle.

Bereitstellen von Pfoten mit einem geschützten FabricDeploy PAWs using a Guarded Fabric

Ein überwachtes Fabric kann verwendet werden, um die Arbeits Auslastungen von Arbeits Auslastungen auf einer abgeschirmten virtuellen Maschine auf einem Laptop oder Jump Server auszuführen.A guarded fabric can be used to run PAW workloads in a shielded virtual machine on a laptop or jump server. Die Übernahme dieses Ansatzes erfordert zusätzliche Infrastruktur und betriebliche Schritte, kann jedoch die erneute Bereitstellung von PW-Images in regelmäßigen Abständen vereinfachen und es Ihnen ermöglichen, mehrere verschiedene mehrstufige (oder Klassifizierungen)-Pfoten in virtuellen Computern zu konsolidieren, auf denen ausgeführt wird. nebeneinander auf einem einzelnen Gerät.Adopting this approach requires extra infrastructure and operational steps, but can make it easier to redeploy PAW images at regular intervals and allows you to consolidate multiple different tiered (or classifications) PAWs into virtual machines running side-by-side on a single device. Eine ausführliche Erläuterung der geschützten Fabric-Topologie und der Sicherheitszusagen finden Sie in der Dokumentation zum geschützten Fabric.For a complete explanation of the guarded fabric topology and security promises, consult the guarded fabric documentation.

Änderungen an den Gruppenrichtlinien ObjektenChanges to the PAW GPOs

Bei der Verwendung von abgeschirmten VM-basierten Pfoten müssen die oben beschriebenen empfohlenen GPO-Einstellungen geändert werden, um die Verwendung virtueller Maschinen zu unterstützen.When using shielded VM-based PAWs, the recommended GPO settings defined above will need to be modified to support the use of virtual machines.

  1. Erstellen Sie eine neue Organisationseinheit für die physischen PW-Hosts.Create a new OU for the physical PAW hosts. Physische und virtuelle Pfoten haben unterschiedliche Sicherheitsanforderungen und sollten in Active Directory entsprechend getrennt werden.Physical and virtual PAWs have different security requirements, and should be separated in Active Directory accordingly.
  2. Das Gruppenrichtlinien Objekt für den PW-Computer muss mit der physischen und der virtuellen PW-Organisationseinheit verknüpft werden.The PAW Computer GPO should be linked to both the physical and virtual PAW OUs.
  3. Erstellen Sie ein neues Gruppenrichtlinien Objekt für die physische Bestellung, um die Benutzer der Gruppe "Hyper-V-Administratoren" hinzuzufügen.Create a new GPO for the physical PAW to add the PAW users to the Hyper-V Admins group. Dies ist erforderlich, damit Administratoren eine Verbindung mit den virtuellen Administrator Computern herstellen und Sie bei Bedarf aktivieren bzw. deaktivieren können.This is required to allow the admins to connect to the admin VMs and turn them on/off as necessary. Es ist wichtig, dass sich der Benutzer, der sich bei der physischen PW anmeldet, nicht über Administratorrechte, Zugriff auf das Internet oder die Möglichkeit zum Kopieren bösartiger Daten von virtuellen Computern aus Netzwerkfreigaben oder externen Speichergeräten auf die physische VM anmeldet.It is important that the user logging into the physical PAW does not have admin rights, access to the internet, or the ability to copy malicious virtual machine data from network shares or external storage devices onto the physical PAW.
  4. Erstellen Sie ein neues Gruppenrichtlinien Objekt für die virtuellen Admin-Computer, um der Gruppe Remotedesktop Benutzer Benutzer hinzufügen.Create a new GPO for the admin VMs to add PAW users to the Remote Desktop Users group. Dies ermöglicht es den Benutzern, erweiterte Konsolen Sitzungen von Hyper-V zu verwenden, was eine bessere Benutzer Leistung bietet und die Passthrough-Smartcard für die VM ermöglicht.This will allow the users to use Hyper-V Enhanced Console Sessions, which offer a better user experience and enables smart card passthrough to the VM.

Einrichten des Host-Überwachungs DienstsSet up the Host Guardian Service

Der Host-Überwachungsdienst ist für das Testen der Identität und der Integrität eines physischen PW-Geräts verantwortlich.The Host Guardian Service is responsible for attesting to the identity and health of a physical PAW device. Nur Computer, die HGS bekannt sind und eine vertrauenswürdige Code Integritätsrichtlinie ausführen, dürfen abgeschirmte VMs starten.Only those machines which are known to HGS and running a trusted code integrity policy are allowed to start up shielded VMs. Dies trägt zum Schutz der abgeschirmten VMS bei, die vertrauenswürdige Workloads ausführen, um Ihre mehrstufigen Ressourcen auf der Grundlage von Bedrohungen der Benutzer Desktopumgebung zu verwalten.This helps protect the shielded VMs, which run trusted workloads to manage your tiered resources, from user desktop environment threats.

Da HGS dafür verantwortlich ist, zu bestimmen, welche Geräte PW-VMS ausführen können, wird es als Ressource der Ebene 0 betrachtet.Since HGS is responsible for determining which devices can run PAW VMs, it is considered a Tier 0 resource. Sie sollte zusammen mit anderen Ressourcen der Ebene 0 bereitgestellt und vor unbefugtem physischem und logischem Zugriff geschützt werden.It should be deployed alongside other Tier 0 resources and protected from unauthorized physical and logical access. HGS ist eine Cluster Rolle und vereinfacht so das horizontale hochskalieren für jede Größen Bereitstellung.HGS is a clustered role, making it easy to scale out for any size deployment. Die allgemeine Regel ist die Planung eines HGS-Servers für alle 1.000-Geräte mit mindestens 3 Knoten.The general rule is to plan 1 HGS server for every 1,000 devices you have, with a minimum of 3 nodes.

  1. Um ihren ersten HGS-Server zu installieren, beginnen Sie mit dem Artikel Installieren der HGS- geschützten Gesamtstruktur, und verknüpfen Sie HGS mit Ihrer Domäne der Ebene 0.To install your first HGS server, start with the Install HGS - Bastion Forest article and join HGS to your Tier 0 domain.

  2. Erstellen Sie anschließend Zertifikate für HGS mithilfe Ihrer Unternehmens Zertifizierungsstelle.Then, create certificates for HGS using your enterprise certificate authority. Jeder, der die HGS-Verschlüsselungs-und Signatur Zertifikate besitzt, kann einen abgeschirmten virtuellen Computer entschlüsseln. Wenn Sie also Zugriff auf ein Hardware Sicherheitsmodul haben, um private Schlüssel zu schützen, empfiehlt es sich, diese Zertifikate mithilfe eines HSM zu generieren.Anyone in possession of the HGS encryption and signing certificates can decrypt a shielded VM, so if you have access to a Hardware Security Module to protect private keys, it is recommended that you generate these certificates using an HSM. Wählen Sie zur Erhöhung der Sicherheit eine Schlüsselgröße größer oder gleich 4096 Bits aus.For stronger security, select a key size greater than or equal to 4096 bits.

  3. Befolgen Sie schließlich die Schritte zum Initialisieren des HGS-Servers im TPM-Modus.Finally, follow the steps to initialize your HGS server in TPM Mode. Die Initialisierung richtet die von ihren Pfoten verwendeten Nachweis-und Schlüsselschutz-Webdienste ein.Initialization sets up the attestation and key protection web services used by your PAWs. HGS müssen mit einem TLS-Zertifikat konfiguriert werden, um diese Kommunikation zu schützen, und nur Port 443 sollte von nicht vertrauenswürdigen Netzwerken zu HGS geöffnet werden.HGS should be configured with a TLS certificate to protect these communications, and only port 443 should be opened from untrusted networks to HGS.

  4. Führen Sie die Schritte zum Hinzufügen zusätzlicher Knoten für die zweiten, dritten und zusätzlichen HGS-Knoten aus.Follow the steps to add additional nodes for your second, third, and additional HGS nodes.

  5. Wenn auf Ihrem HGS-Server Windows Server 2019 oder höher ausgeführt wird, können Sie ein optionales Feature aktivieren, um die Schlüssel für abgeschirmte VMS auf Pfoten zwischenzuspeichern, sodass Sie offline verwendet werden können.If your HGS server is running Windows Server 2019 or later, you can enable an optional feature to cache the keys for shielded VMs on PAWs so they can be used offline. Die Schlüssel sind für die aktuelle Sicherheitskonfiguration des Systems versiegelt, um zu verhindern, dass Benutzer zwischengespeicherte Schlüssel auf einem anderen Computer oder dem gleichen Computer in einem unsicheren Zustand verwenden.The keys are sealed to the current security configuration of the system to prevent someone from using cached keys on another machine or the same machine in an insecure state. Dies ist möglicherweise eine sinnvolle Lösung, wenn Ihre Benutzer ohne Zugriff auf das Internet unterwegs sind, sich aber trotzdem in der Lage sein müssen, sich bei Ihren virtuellen PW-Computern anzumelden.This may be a useful solution if your PAW users travel without access to the Internet but still need to be able to log into their PAW VMs. Um dieses Feature zu verwenden, führen Sie auf jedem HGS-Server den folgenden Befehl aus:To use this feature, run the following command on any HGS server:

    Set-HgsKeyProtectionConfiguration -AllowKeyMaterialCaching:$true
    

Richten Sie das physische PW-Gerät ein.Set up the physical PAW device

Das physische PW-Gerät wird in der geschützten Fabric-Lösung standardmäßig als nicht vertrauenswürdig eingestuft.The physical PAW device is considered untrusted by default in the guarded fabric solution. Er kann nachweisen, dass er während des Nachweis Vorgangs vertrauenswürdig ist. Danach kann er die Schlüssel abrufen, die zum Starten eines geschützten Administrators erforderlich sind.It can prove it is trustworthy during the attestation process, after which it can obtain the keys needed to start a shielded admin VM. Auf dem Gerät muss Hyper-V ausgeführt werden können, und es muss ein sicherer Start und ein TPM 2,0 aktiviert sein, um die Voraussetzungen für den geschützten Hostzu erfüllen.The device must be able to run Hyper-V and have Secure Boot and a TPM 2.0 enabled to meet the guarded host prerequisites. Die mindestbetriebssystemversion zur Unterstützung sämtlicher PW-Funktionen ist Windows 10, Version 1803.The minimum operating system version to support all PAW functionality is Windows 10 version 1803.

Die physische Auslagerung sollte wie jede andere eingerichtet werden, mit der Ausnahme, dass es sich bei allen Benutzer von Benutzern um Hyper-V-Administratoren handeln muss, damit Sie den virtuellen Administrator Computer aktivieren und eine Verbindung damit herstellen können.The physical PAW should be set up like any other, with the exception that any PAW users will need to be Hyper-V Administrators to be able to turn the admin VM on and connect to it. In Ihrer Umgebung mit sauberem Raum müssen Sie eine goldene Konfiguration für jede eindeutige Kombination aus Hardware und Software erstellen, die Sie als überwachte Hosts für administrative VMS bereitstellen.In your clean room environment, you will need to create a golden configuration for each unique hardware/software combination you are deploying as guarded hosts for admin VMs. Führen Sie in jeder Golden Configuration die folgenden Aufgaben aus:On each golden configuration, complete the following tasks:

  1. Installieren Sie die neuesten Updates für Windows, Treiber und Firmware auf dem Computer sowie alle Verwaltungs-oder Überwachungs-Agents von Drittanbietern.Install the latest updates for Windows, drivers, and firmware on the machine as well as any third party management or monitoring agents.
  2. Erfassen Sie die erforderlichen Baselineinformationen, einschließlich der eindeutigen TPM-ID (Endorsement Key), Start Messungen (TCG-Protokoll) und Code Integritätsrichtlinie für den Computer.Capture the required baseline information, including the unique TPM identifier (endorsement key), boot measurements (TCG log), and code integrity policy for the machine.
  3. Kopieren Sie diese Artefakte auf einen HGS-Server, und führen Sie die HGS-Nachweis Befehle im vorherigen Artikel aus, um den Host zu registrieren.Copy these artifacts to an HGS server and run the HGS attestation commands in the previous article to register the host. Wenn alle Hosts dieselbe Code Integritätsrichtlinie verwenden und/oder dieselbe Hardwarekonfiguration verwenden, müssen Sie nur einmal die Code Integritätsrichtlinie/das TCG-Protokoll registrieren.If all your hosts use the same code integrity policy and/or use the same hardware configuration, you only need to register the code integrity policy/TCG log once.

Erstellen der signierten Vorlagen FestplatteCreate the signed template disk

Abgeschirmte VMS werden mithilfe signierter Vorlagen Datenträger erstellt.Shielded VMs are created using signed template disks. Die Signatur wird zum Zeitpunkt der Bereitstellung überprüft, um die Integrität und Authentizität der Datenträger zu überprüfen, bevor Sie Geheimnisse wie das Administrator Kennwort auf dem virtuellen ComputerThe signature is verified at deployment time to verify the disk integrity and authenticity before releasing secrets such as the administrator password into the VM.

Um einen signierten Vorlagen Datenträger zu erstellen, befolgen Sie die Bereitstellungs Schritte in Phase 1 auf einem regulären virtuellen Computer der Generation 2To create a signed template disk, follow the phase 1 deployment steps on a regular, generation 2 virtual machine. Dieser Computer wird das Goldene Image für eine Administrator-VM.This machine will become the golden image for an admin VM. Sie können mehr als einen Vorlagen Datenträger erstellen, um spezialisierte Tools in verschiedenen Kontexten verfügbar zu machen.You can create more than one template disk to have specialized tools available in different contexts.

Wenn die VM wie gewünscht konfiguriert ist, führen Sie C:\Windows\System32\sysprep\sysprep.exe aus, und generalisieren Sie den Datenträger.When the VM is configured as desired, run C:\Windows\System32\sysprep\sysprep.exe and choose to Generalize the disk. Fahren Sie das Betriebssystem herunter , wenn die Generalisierung abgeschlossen ist.Shut down the OS when generalization completes.

Führen Sie schließlich den Vorlagen-Assistenten für Vorlagen für die vhdx-Datei auf dem virtuellen Computer aus, um die BitLocker-Komponenten zu installieren und die Datenträger Signatur zu generieren.Finally, run the Template Disk Wizard on the VHDX file from the VM to install the BitLocker components and generate the disk signature.

Erstellen der Schutz DatendateiCreate the shielding data file

Der generalisierte Vorlagen Datenträger wird mit einer Schutz Datendatei gekoppelt, die die für die Bereitstellung einer abgeschirmten VM benötigten geheimen Schlüssel enthält.The generalized template disk is paired with a shielding data file, which contains the secrets needed to provision a shielded VM. Die geschützte Datendatei enthält Folgendes:The shielding data file includes:

  • Eine Liste von Erziehungsberechtigten, mit denen die Fabrics definiert werden, in denen die VM ausgeführt werden darf.A list of guardians, which define the fabrics where the VM is allowed to run. Jeder HGS-Cluster ist ein Wächter für die von ihm geschützten PW-Geräte.Each HGS cluster is a guardian for the PAW devices it protects.
  • Eine Liste der für die Bereitstellung vertrauenswürdigen Datenträger Signaturen.A list of disk signatures trusted for deployment. Geschützte Datendateien veröffentlichen nur Ihre geheimen Schlüssel für VMS, die mit autorisierten Quell Medien erstellt wurden.Shielding data files will only release their secrets to VMs created using authorized source media.
  • Eine Sicherheitsrichtlinie, die festlegt, ob zusätzliche Schutzmaßnahmen eingerichtet werden müssen, um den virtuellen Computer vom Host zu schützen, und ob der virtuelle Computer auf einen anderen Computer verschoben werden darf.A security policy that dictates whether extra protections should be put in place to protect the VM from the host and whether the VM is allowed to move to another machine. PW-Administrator-VMS sollten immer vollständig geschützt sein.PAW admin VMs should always be fully shielded.
  • Die Datei "Unattend. xml", die es Windows ermöglicht, die Installation automatisch abzuschließen, und enthält Geheimnisse wie das Kennwort des lokalen Administrators.The unattend.xml specialization file, which allows Windows to complete installation automatically and includes secrets like the local administrator's password.
  • Weitere Dateien, z. b. RDP-oder VPN-Zertifikate.Additional files, such as RDP or VPN certificates.

Im Artikel Schutz Datendatei finden Sie Schritte zum Erstellen einer geschützten Datendatei.See the shielding data file article for steps on how to create a shielding data file.

Die Besitzer Schlüssel für abgeschirmte VMS sind äußerst sensibel und sollten in einem HSM aufbewahrt oder offline an einem sicheren Ort gespeichert werden.The owner keys for shielded VMs are extremely sensitive and should be kept in an HSM or stored offline in a safe location. Sie können in einem notfallszenario verwendet werden, um eine abgeschirmte VM zu starten, ohne dass HGS vorhanden sind.They can be used in an emergency break glass scenario to boot a shielded VM without the presence of HGS.

Es wird dringend empfohlen, dass geschützte Daten für virtuelle Computer im PW-Administrator die Einstellung zum Sperren eines virtuellen Computers auf den ersten physischen Host, auf dem er gestartet wird, einschließen.It is strongly recommended that shielding data for PAW admin VMs include the setting to lock a VM to the first physical host where it is booted. Dadurch wird verhindert, dass ein Benutzer eine admin-VM von einer einzelnen PW in eine andere PW in derselben Umgebung verschiebt.This will prevent someone from moving an admin VM from one PAW to another PAW in the same environment. Um dieses Feature zu verwenden, erstellen Sie die Schutz Datendatei mit PowerShell, und fügen Sie den Parameter binddehosttpm ein:To use this feature, create the shielding data file with PowerShell and include the BindToHostTpm parameter:

New-ShieldingDataFile -Policy Shielded -BindToHostTpm [...]

Bereitstellen eines virtuellen Administrator ComputersDeploy an admin VM

Sobald der Vorlagen Datenträger und die geschützte Datendatei bereit sind, können Sie eine Administrator-VM auf jeder beliebigen, mit HGS registrierten PW bereitstellen.Once the template disk and shielding data file are ready, you can deploy an admin VM on any PAW that was registered with HGS.

  1. Kopieren Sie den Vorlagen Datenträger (vhdx) und die geschützte Datendatei (PDK-Datei) auf ein vertrauenswürdiges PAW-Gerät.Copy the template disk (.vhdx) and shielding data file (.pdk) to a trusted PAW device.
  2. Befolgen Sie die Anweisungen zum Bereitstellen einer neuen abgeschirmten VM mithilfe von PowerShell .Follow the instructions to deploy a new shielded VM using PowerShell
  3. Führen Sie die restlichen Schritte in Phase 1 des Bereitstellungs Prozesses aus, um das Betriebssystem des virtuellen Computers zu sichern, und konfigurieren Sie es nach Bedarf für die gewünschte Rolle.Complete the remaining steps in phase 1 of the deployment process to secure the VM operating system and configure it for its intended role, as appropriate.

Einbinden von Microsoft Cybersecurity-DienstenEngaging Microsoft Cybersecurity Services

[-Geschmack von Premier: Vorgehensweise beim Mindern von Pass-the-Hash-und anderen Formen des Diebstahls von Anmelde Informationen @ no__t-0Taste of Premier: How to Mitigate Pass-the-Hash and Other Forms of Credential Theft

Microsoft Advanced Threat AnalyticsMicrosoft Advanced Threat Analytics

Schützen abgeleiteter Domänenanmeldeinformationen mit Credential GuardProtect derived domain credentials with Credential Guard

Übersicht über Device GuardDevice Guard Overview

Schützen von Ressourcen mit hohem Wert durch sichere Admin-ArbeitsstationenProtecting high-value assets with secure admin workstations

Isolierter Benutzermodus in Windows 10 mit Dave Probert (Channel 9)Isolated User Mode in Windows 10 with Dave Probert (Channel 9)

Isolierte Benutzermodusprozesse und Features in Windows 10 mit Logan Gabriel (Channel 9)Isolated User Mode Processes and Features in Windows 10 with Logan Gabriel (Channel 9)

Weitere Informationen zu Prozessen und Features im isolierten Windows 10-Benutzermodus mit Dave Probert (Channel 9)More on Processes and Features in Windows 10 Isolated User Mode with Dave Probert (Channel 9)

Mindern des Diebstahls von Anmelde Informationen mithilfe des isolierten Windows 10-Benutzermodus (Channel 9)Mitigating Credential Theft using the Windows 10 Isolated User Mode (Channel 9)

Aktivieren der strengen KDC-Überprüfung in Windows-KerberosEnabling Strict KDC Validation in Windows Kerberos

Neues bei der Kerberos-Authentifizierung für Windows Server 2012What's New in Kerberos Authentication for Windows Server 2012

Schritt-für-Schritt-Anleitung zum Sichern von Authentifizierungsmechanismen für AD DS in Windows Server 2008 R2Authentication Mechanism Assurance for AD DS in Windows Server 2008 R2 Step-by-Step Guide

Trusted Platform ModuleTrusted Platform Module