Arbeitsstationen mit privilegiertem ZugriffPrivileged Access Workstations

Gilt für: Windows Server2016, Windows Server2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Arbeitsstationen mit privilegiertem Zugriff (PAWs) Geben Sie ein dediziertes Betriebssystem für sensible Aufgaben, die gegen Angriffe aus dem Internet und Übertragung von Bedrohungen geschützt ist.Privileged Access Workstations (PAWs) provide a dedicated operating system for sensitive tasks that is protected from Internet attacks and threat vectors. Verwenden Sie Trennung dieser sensiblen Aufgaben und Konten aus den täglichen Arbeitsstationen und Geräte bietet sehr starken Schutz vor Phishing-Angriffe, Anwendung und Betriebssystem Sicherheitslücken, Angriffen durch identitätsvortäuschung und Methoden des Anmeldeinformationsdiebstahls z.B. Protokollierung von Tastatureingaben, Pass-the-Hash, und Pass-The-Ticket.Separating these sensitive tasks and accounts from the daily use workstations and devices provides very strong protection from phishing attacks, application and OS vulnerabilities, various impersonation attacks, and credential theft attacks such as keystroke logging, Pass-the-Hash, and Pass-The-Ticket.

Architektur (Übersicht)Architecture Overview

Das folgende Diagramm zeigt einen separaten "Kanal" für die Verwaltung (eine höchst sensible Aufgabe), die durch Einrichten getrennter dedizierter Konten und Arbeitsstationen.The diagram below depicts a separate "channel" for administration (a highly sensitive task) that is created by maintaining separate dedicated administrative accounts and workstations.

Das Diagramm zeigt einen separaten "Kanal" für die Verwaltung (eine höchst sensible Aufgabe), die durch Einrichten getrennter dedizierter Konten und Arbeitsstationen

Diese Architektur basiert auf den Schutzmaßnahmen in Windows10 Credential Guard und Device Guard verfügt und diese Schutzmaßnahmen für sensible Konten und Aufgaben weit.This architectural approach builds on the protections found in the Windows 10 Credential Guard and Device Guard features and goes beyond those protections for sensitive accounts and tasks.

Diese Methode eignet sich für Konten mit Zugriff auf hochwertige Ressourcen:This methodology is appropriate for accounts with access to high value assets:

  • Administratorrechte die PAWs bieten erhöhte Sicherheit für weitreichenden IT-Rollen und Aufgaben.Administrative Privileges the PAWs provide increased security for high impact IT administrative roles and tasks. Diese Architektur kann auf viele Arten von Systemen, einschließlich Active Directory-Domänen und Gesamtstrukturen, angewendet werden Microsoft Azure Active Directory-Mandanten, Office365-Mandanten, Prozess Steuerelement Netzwerke (PCN), Pcns Kontrolle und Data Acquisition SCADA-Systeme, Geldautomaten (Geldautomaten) und Point of Sale (PoS)-Geräte.This architecture can be applied to administration of many types of systems including Active Directory Domains and Forests, Microsoft Azure Active Directory tenants, Office 365 tenants, Process Control Networks (PCN), Supervisory Control and Data Acquisition (SCADA) systems, Automated Teller Machines (ATMs), and Point of Sale (PoS) devices.

  • Hohe Empfindlichkeit Information-Worker der Ansatz paws bieten auch Schutz für vertrauliche Informationen und Mitarbeiter vor Ankündigung Unternehmensfusion Aktivität, pre-Release-Finanzberichte, Organisationseinheit in sozialen Medien, Kommunikation der Geschäftsleitung, noch nicht patentierte Geschäftsgeheimnisse, vertrauliche Recherchen oder andere vertrauliche oder sensiblen Daten in Zusammenhang mit.High Sensitivity Information workers the approach used in a PAW can also provide protection for highly sensitive information worker tasks and personnel such as those involving pre-announcement Merger and Acquisition activity, pre-release financial reports, organizational social media presence, executive communications, unpatented trade secrets, sensitive research, or other proprietary or sensitive data. Diese Anleitung erläutert die Konfiguration der diese Information-Worker-Szenarien im Detail oder auch wird das Szenario in den technischen Anweisungen nicht.This guidance does not discuss the configuration of these information worker scenarios in depth or include this scenario in the technical instructions.

    Hinweis

    Microsoft-IT-Abteilung verwendet PAWs (intern als "sichere Arbeitsstationen für Administratoren" oder SAWs bezeichnet) zum Verwalten von sicheren Zugriffs auf interne wichtigen Systemen in Microsoft.Microsoft IT uses PAWs (internally referred to as "secure admin workstations", or SAWs) to manage secure access to internal high-value systems within Microsoft. Dieser Leitfaden wurde zusätzliche Detail unten auf der PAW-Nutzung bei Microsoft im Abschnitt "Wie Microsoft Arbeitsstationen für Administratoren verwendet".This guidance has additional details below on PAW usage at Microsoft in the section "How Microsoft uses admin workstations". Ausführlichere Informationen zu diesem Ansatz für hochwertige Element-Umgebung finden Sie im Artikel Schützen von wertvollen Assets mit sicheren Arbeitsstationen.For more detailed information on this high value asset environment approach, please refer to the article, Protecting high-value assets with secure admin workstations.

In diesem Dokument wird beschrieben, warum diese Vorgehensweise für den Schutz von Konten mit weitreichenden Berechtigungen empfohlen wird, wie diese PAW-Lösungen aussehen, für den Schutz von Administratorrechten, und wie Sie schnell eine PAW-Lösung für die Verwaltung von Domänen- und Cloud-Dienste bereitstellen.This document will describe why this practice is recommended for protecting high impact privileged accounts, what these PAW solutions look like for protecting administrative privileges, and how to quickly deploy a PAW solution for domain and cloud services administration.

Dieses Dokument bietet eine detaillierte Anleitung für die Implementierung von mehreren PAW-Konfigurationen und bietet detaillierte implementierungsanweisungen, um Ihnen den Einstieg für den Schutz von Konten mit weitreichenden:This document provides detailed guidance for implementing several PAW configurations and includes detailed implementation instructions to get you started on protecting common high impact accounts:

  • Phase 1: sofortige Bereitstellung für Active Directory-Administratoren Dies bietet eine PAW schnell, die auf lokalen Domänen- und Verwaltungsfunktionen schützen kannPhase 1 - Immediate Deployment for Active Directory Administrators this provides a PAW quickly that can protect on premises domain and forest administration roles

  • Phase 2: Erweitern des PAW auf alle Administratoren dadurch Schutz für Administratoren von Cloud-Diensten wie Office365 und Azure, Unternehmensservern, unternehmensanwendungen und ArbeitsstationenPhase 2 - Extend PAW to all administrators this enables protection for administrators of cloud services like Office 365 and Azure, enterprise servers, enterprise applications, and workstations

  • Phase 3: Erweiterte PAW-Sicherheit dies zusätzliche Schutzmaßnahmen und Überlegungen zur Sicherheit von PAWS erläutertPhase 3 - Advanced PAW security this discusses additional protections and considerations for PAW security

Warum eine dedizierte Arbeitsstation?Why a dedicated workstation?

Die aktuelle Umgebung der Bedrohung für Organisationen ist voller ausgefeilte und andere Angriffe aus dem Internet, die fortlaufende Sicherheitsrisiko für das Internet verfügbar gemacht werden Konten und Arbeitsstationen zu erstellen.The current threat environment for organizations is rife with sophisticated phishing and other internet attacks that create continuous risk of security compromise for internet exposed accounts and workstations.

Dieser Bedrohungen müssen Organisationen eine Sicherheitsniveau "sicherheitsverletzungen" beim Entwerfen von Schutzmaßnahmen für wertvolle Assets wie Administratorkonten und sensible Unternehmensressourcen übernehmen.This threat environment requires an organizations to adopt an "assume breach" security posture when designing protections for high value assets like administrative accounts and sensitive business assets. Diese wertvollen Assets mit sowohl direkten Bedrohungen aus dem Internet als auch vor Angriffen geschützt werden müssen über andere Arbeitsstationen, Servern und Geräten in der Umgebung bereitgestellt.These high value assets need to be protected against both direct internet threats as well as attacks mounted from other workstations, servers, and devices in the environment.

Diese Abbildungzeigt das Risiko für verwaltete Assets, wenn ein Angreifer die Kontrolle über eine Benutzerarbeitsstation erhält, in denen vertrauliche Anmeldeinformationen verwendet werden

Diese Abbildungzeigt das Risiko für verwaltete Assets, wenn ein Angreifer die Kontrolle über eine Benutzerarbeitsstation erhält, in denen vertrauliche Anmeldeinformationen verwendet werden.This figure depicts risk to managed assets if an attacker gains control of a user workstation where sensitive credentials are used.

Eine Angreifer Kontrolle über ein Betriebssystem verfügt über zahlreiche Möglichkeiten offen, unerlaubt Zugriff auf alle Aktivitäten auf der Arbeitsstation und die Identität des legitimen Kontos.An attacker in control of an operating system has numerous ways in which to illicitly gain access to all activity on the workstation and impersonate the legitimate account. Eine Vielzahl von bekannten und unbekannten Angriffstechniken kann verwendet werden, um diese Zugriffsebene zu erhalten.A variety of known and unknown attack techniques can be used to gain this level of access. Die und ausgefeilter von Cyberangriffe haben Konzept der Trennung Clientbetriebssysteme für sensible Konten vollständig getrennten erweitern vorgenommen.The increasing volume and sophistication of cyberattacks have made it necessary to extend that separation concept to completely separate client operating systems for sensitive accounts. Weitere Informationen zu diesen Arten von Angriffen finden Sie auf der Pass The Hash Website Whitepapers, Videos und vieles mehr.For more information on these types of attacks, please visit the Pass The Hash web site for informative white papers, videos and more.

Der PAW-Ansatz ist eine Erweiterung der etablierten empfohlen für Administratoren getrennte Administrator- und Benutzerkonten verwenden.The PAW approach is an extension of the well-established recommended practice to use separate admin and user accounts for administrative personnel. Hier kommt ein individuell zugewiesenes Administratorkonto an, das vollständig vom Standardbenutzerkonto des Benutzers getrennt ist.This practice uses an individually assigned administrative account that is completely separate from the user's standard user account. PAW baut auf dieser Praxis für solche sensiblen Konten eine vertrauenswürdige Arbeitsstation bereitstellen.PAW builds on that account separation practice by providing a trustworthy workstation for those sensitive accounts.

Hinweis

Microsoft-IT-Abteilung verwendet PAWs (intern als "sichere Arbeitsstationen für Administratoren" oder SAWs bezeichnet) zum Verwalten von sicheren Zugriffs auf interne wichtigen Systemen in Microsoft.Microsoft IT uses PAWs (internally referred to as "secure admin workstations", or SAWs) to manage secure access to internal high-value systems within Microsoft. Dieser Leitfaden wurde zusätzliche Detail auf der PAW-Nutzung bei Microsoft im Abschnitt "Wie Microsoft Arbeitsstationen für Administratoren verwendet"This guidance has additional details on PAW usage at Microsoft in the section "How Microsoft uses admin workstations"

Ausführlichere Informationen zu diesem Ansatz für hochwertige Element-Umgebung finden Sie in Artikel Schützen von wertvollen Assets mit sicheren Arbeitsstationen.For more detailed information on this high value asset environment approach, please refer to the article Protecting high-value assets with secure admin workstations.

Dieser PAW-Leitfaden soll diese Funktion für den Schutz von wertvolle Konten wie z.B. hoher Berechtigung IT-Administratoren und hochsensible Geschäftskonten implementieren.This PAW guidance is intended to help you implement this capability for protecting high value accounts such as high-privileged IT administrators and high sensitivity business accounts. Der Leitfaden unterstützt Sie:The guidance helps you:

  • Einschränken der Offenlegung von Anmeldeinformationen auf vertrauenswürdige Hosts.Restrict exposure of credentials to only trusted hosts

  • Bereitstellen einer Arbeitsstation mit hoher Sicherheit für Administratoren, damit sie leicht administrative Aufgaben ausführen können.Provide a high-security workstation to administrators so they can easily perform administrative tasks.

Beschränken sensiblen Konten ausschließlich auf gesicherten PAWs mit ist eine einfache Schutz für diese Konten, der für Administratoren sicherstellen und eine solide, bezwingen sehr schwierig ist.Restricting the sensitive accounts to using only hardened PAWs is a straightforward protection for these accounts that is both highly usable for administrators and very difficult for an adversary to defeat.

Alternative Ansätze: Einschränkungen, Überlegungen und IntegrationAlternate approaches - Limitations, considerations, and integration

Dieser Abschnittenthält Informationen wie die Sicherheit alternativer Ansätze im Vergleich zu PAWS und wie diese Ansätze innerhalb einer PAW-Architektur ordnungsgemäß integriert.This section contains information on how the security of alternate approaches compares to PAW and how to correctly integrate these approaches within a PAW architecture. All diese Ansätze erhebliches Risiko dar, wenn Sie isoliert implementiert haben, jedoch können Wert zu einer PAW-Implementierung in einigen Szenarien hinzufügen.All of these approaches carry significant risks when implemented in isolation, but can add value to a PAW implementation in some scenarios.

Credential Guard und Microsoft PassportCredential Guard and Microsoft Passport

Windows10 eingeführte Credential Guard Hardware- und virtualisierungsbasierte Sicherheit verwendet, um häufige Methoden des Anmeldeinformationsdiebstahls, wie z.B. Pass-the-Hash, durch Schützen der abgeleiteten Anmeldeinformationen zu verringern.Introduced in Windows 10, Credential Guard uses hardware and virtualization-based security to mitigate common credential theft attacks, such as Pass-the-Hash, by protecting the derived credentials. Der private Schlüssel für Anmeldeinformationen durch Microsoft Passport kann auch von der Hardware für Trusted Platform Module (TPM) geschützt werden.The private key for credentials used by Microsoft Passport can be also be protected by Trusted Platform Module (TPM) hardware.

Dies sind leistungsstarke Schutzmaßnahmen, aber Arbeitsstationen können immer noch anfällig für bestimmte Angriffe sein, auch wenn die Anmeldeinformationen durch Credential Guard oder Passport geschützt sind.These are powerful mitigations, but workstations can still be vulnerable to certain attacks even if the credentials are protected by Credential Guard or Passport. Angriffen zählen der Missbrauch von Berechtigungen und die Verwendung von Anmeldeinformationen direkt von einem manipulierten Gerät, vor der Aktivierung von Credential Guard gestohlene Anmeldeinformationen sowie der Missbrauch von Management Verwaltungstools und schwachen Anwendungskonfigurationen auf der Arbeitsstation.Attacks can include abusing privileges and use of credentials directly from a compromised device, reusing previously stolen credentials prior to enabling Credential Guard, and abuse of management tools and weak application configurations on the workstation.

Anleitungen für PAWS in diesem Abschnittenthält die Verwendung einer Vielzahl dieser Technologien für hochsensible Konten und Aufgaben.The PAW guidance in this section includes the use of many of these technologies for high sensitivity accounts and tasks.

Verwaltung virtueller ComputerAdministrative VM

Ein administrativer virtuellen Computer (VM) ist ein dediziertes Betriebssystem für administrative Aufgaben auf einem standardbenutzerdesktop gehostet.An administrative virtual machine (VM) is a dedicated operating system for administrative tasks hosted on a standard user desktop. Während dieser Ansatz bei der Bereitstellung ein dediziertes Betriebssystem für administrative Aufgaben PAW vergleichbar ist, hat es einen schwerwiegenden Fehler, da die virtuellen vom standardbenutzerdesktop für ihre Sicherheit abhängig ist.While this approach is similar to PAW in providing a dedicated OS for administrative tasks, it has a fatal flaw in that the administrative VM is dependent on the standard user desktop for its security.

Das folgende Diagramm zeigt die Fähigkeit von Angreifern, die auf das Zielobjekt Orte mit einer Admin-VM auf einer Benutzerarbeitsstation folgen und dass er schwierig, einen Pfad in der umgekehrten Konfiguration zu erstellen.The diagram below depicts the ability of attackers to follow the control chain to the target object of interest with an Admin VM on a User Workstation and that it is difficult to create a path on the reverse configuration.

Die PAW-Architektur ist nicht zulässig, für das Hosten von auf der Arbeitsstation eines Benutzers, jedoch kann ein virtueller Benutzercomputer mit einem standardmäßigen Unternehmensimage gehostet werden, auf einer PAW-Host, um Mitarbeitern einen einzigen PC für alle Aufgaben bereitzustellen.The PAW architecture does not allow for hosting an admin VM on a user workstation, but a user VM with a standard corporate image can be hosted on a PAW host to provide personnel with a single PC for all responsibilities.

Diagramm der PAW-Architektur

SprungbrettserverJump Server

Administrative "springen" zielserverarchitektur richten Sie eine kleine Anzahl Verwaltungskonsole Server und nur von bestimmten Mitarbeitern für Verwaltungsaufgaben verwendet werden.Administrative "Jump Server" architectures set up a small number administrative console servers and restrict personnel to using them for administrative tasks. Dies basiert üblicherweise auf Remotedesktopdiensten, einer Präsentation 3rd Party-Virtualisierungslösung oder eine Virtual Desktop Infrastructure (VDI)-Technologie.This is typically based on remote desktop services, a 3rd-party presentation virtualization solution, or a Virtual Desktop Infrastructure (VDI) technology.

Dieser Ansatz wird häufig zum verwaltungsrisiken vorgeschlagen und bietet einige Sicherheitsmaßnahmen, aber der Sprungliste Server Ansatz selbst ist anfällig für bestimmte Angriffe, da es gegen die Prinzip der "vertrauenswürdigen Quelle".This approach is frequently proposed to mitigate risk to administration and does provide some security assurances, but the jump server approach by itself is vulnerable to certain attacks because it violates the "clean source" principle. Das Prinzip der vertrauenswürdigen Quelle muss alle sicherheitsabhängigkeiten weniger vertrauenswürdig als das Objekt, das gesichert werden.The clean source principle requires all security dependencies to be as trustworthy as the object being secured.

Diese Abbildungzeigt eine einfache kontrollbeziehung

Diese Abbildungzeigt eine einfache kontrollbeziehung.This figure depicts a simple control relationship. Jedes Subjekt, das in ein Objekt ist eine sicherheitsabhängigkeit dieses Objekts.Any subject in control of an object is a security dependency of that object. Wenn ein Angreifer eine sicherheitsabhängigkeit eines Zielobjekts (ein Subjekt) steuern kann, können sie dieses Objekt steuern.If an adversary can control a security dependency of a target object (subject), they can control that object.

Die verwaltungssitzung auf dem sprungbrettserver stützt sich auf die Integrität des lokalen Computers darauf zugreifen kann.The administrative session on the jump server relies on the integrity of the local computer accessing it. Wenn dieser Computer eine Arbeitsstation Phishing-Angriffen und anderen internetbasierten Angriffsmethoden ist, wird die verwaltungssitzung auch verwaltungssitzung diesen Risiken ausgesetzt.If this computer is a user workstation subject to phishing attacks and other internet-based attack vectors, then the administrative session is also subject to those risks.

Diese Abbildungzeigt, wie Angreifer einer eingerichteten auf das Zielobjekt folgen können

Die obige Abbildungzeigt, wie Angreifer einer eingerichteten auf das Zielobjekt folgen können.The figure above depicts how attackers can follow an established control chain to the target object of interest.

Während einige erweiterte Sicherheitsmaßnahmen wie mehrstufige Authentifizierung ist schwierig, ein Angreifer, der Übernahme dieser administrativen Sitzung von der Arbeitsstation des Benutzers, keine Sicherheitsfunktion erhöhen kann vollständig vor technischen Angriffen, wenn ein Angreifer schützen können, verfügt über Verwaltungszugriff auf dem Quell-PC (z.B. durch Eingabe unerlaubter Befehle in einer genehmigten Sitzung, durch Übernahme legitimer Prozesse usw..)While some advanced security controls like multi-factor authentication can increase the difficulty of an attacker taking over this administrative session from the user workstation, no security feature can fully protect against technical attacks when an attacker has administrative access of the source computer (e.g. injecting illicit commands into a legitimate session, hijacking legitimate processes, and so on.)

Die Standardkonfiguration in diesem PAW-Leitfaden installiert Verwaltungstools auf der PAW, jedoch kann bei Bedarf auch eine sprungbrettserverarchitektur hinzugefügt.The default configuration in this PAW guidance installs administrative tools on the PAW, but a jump server architecture can also be added if required.

Diese Abbildungzeigt, wie Umkehren der kontrollbeziehung und Zugreifen auf Benutzer-Apps auf einer Administratorarbeitsstation dem Angreifer das Zielobjekt erreichen können

Die folgende Abbildungzeigt, wie Umkehren der kontrollbeziehung und Zugreifen auf Benutzer-Apps auf einer Administratorarbeitsstation dem Angreifer das Zielobjekt erreichen können.This figure shows how reversing the control relationship and accessing user apps from an admin workstation gives the attacker no path to the targeted object. Der Benutzer sprungbrettserver wird weiterhin Risiken verfügbar gemacht, damit geeignete Kontrollmechanismen, sprungserver und Antwort-Prozessen für diesen Computer dem Internet verbundene weiterhin angewendet werden soll.The user jump server is still exposed to risk so appropriate protective controls, detective controls, and response processes should still be applied for that internet-facing computer.

Diese Konfiguration muss Administratoren festgelegte Vorgehensweisen genau, um sicherzustellen, dass sie versehentlich Administratoranmeldeinformationen in die Benutzersitzung auf dem Desktop nicht eingeben.This configuration requires administrators to follow operational practices closely to ensure that they don't accidentally enter administrator credentials into the user session on their desktop.

Diese Abbildungzeigt, wie den Zugriff auf einen administrativen sprungbrettserver über eine paw erfolgt keine der Angreifer an die verwaltungsassets zu

Die folgende Abbildungzeigt, wie den Zugriff auf einen administrativen sprungbrettserver über eine paw erfolgt keine der Angreifer an die verwaltungsassets zu.This figure shows how accessing an administrative jump server from a PAW adds no path for the attacker into the administrative assets. Ein sprungbrettserver mit einer PAW kann in diesem Fall die Anzahl von Speicherorten für die Überwachung von Verwaltungsaktivitäten und Verteilung von Verwaltungsanwendungen und -Tools konsolidieren.A jump server with a PAW allows in this case you to consolidate the number of locations for monitoring administrative activity and distributing administrative applications and tools. Dieser Entwurf erhöht die Komplexität, jedoch kann Sicherheitsupdates Überwachung und Software vereinfachen, wenn eine große Anzahl von Konten und Arbeitsstationen in Ihre PAW-Implementierung verwendet werden.This adds some design complexity, but can simplify security monitoring and software updates if a large number of accounts and workstations are used in your PAW implementation. Der sprungbrettserver müssten erstellt und an den gleichen Sicherheitsstandards wie die PAW konfiguriert werden.The jump server would need to be built and configured to similar security standards as the PAW.

Die BerechtigungsverwaltungPrivilege Management Solutions

Für die berechtigungsverwaltung sind Anwendungen, die bei Bedarf temporären Zugriff auf einzelne Berechtigungen oder privilegierte Konten bereitstellen.Privileged Management solutions are applications that provide temporary access to discrete privileges or privileged accounts on demand. Die berechtigungsverwaltung sind eine sehr wertvolle Komponente einer umfassenden Strategie zur Sicherung des privilegierten Zugriffs und Transparenz und Verantwortlichkeit für administrative Aktivität.Privilege management solutions are an extremely valuable component of a complete strategy to secure privileged access and provide critically important visibility and accountability of administrative activity.

Diese Lösungen nutzen üblicherweise einen flexiblen Workflow zum Gewähren von Zugriff und verfügen über zahlreiche weitere Sicherheitsfeatures und -Funktionen wie die kennwortverwaltung für Dienstkonten und die Integration mit administrativen sprungbrettservern.These solutions typically use a flexible workflow to grant access and many have additional security features and capabilities like service account password management and integration with administrative jump servers. Es gibt viele Lösungen auf dem Markt, die Berechtigung Verwaltungsfunktionen bereitstellen, von denen Microsoft Identity Manager (MIM) privileged Access Management (PAM) ist.There are many solutions on the market that provide privilege management capabilities, one of which is Microsoft Identity Manager (MIM) privileged access management (PAM).

Microsoft empfiehlt die Verwendung einer PAWS für den Zugriff für die berechtigungsverwaltung.Microsoft recommends using a PAW to access privilege management solutions. Zugriff auf solche Lösungen sollte nur für PAWs gewährt werden.Access to these solutions should be granted only to PAWs. Microsoft empfiehlt nicht, diese Lösungen als Ersatz für eine PAW verwenden, da der Zugriff auf Berechtigungen von einem potenziell gefährdeten Benutzerdesktop gegen die Quelle Grundsatz wie im folgenden Diagramm dargestellt:Microsoft does not recommend using these solutions as a substitute for a PAW because accessing privileges using these solutions from a potentially compromised user desktop violates the clean source principle as depicted in the diagram below:

Das Diagramm zeigt, wie Microsoft nicht empfiehlt diese Lösungen als Ersatz für eine PAW verwenden, da das Prinzip der vertrauenswürdigen Quelle Zugriff auf Berechtigungen von einem potenziell gefährdeten Benutzerdesktop verletzt werden.

Bereitstellung einer PAW für den Zugriff auf diese Lösungen können Sie die Sicherheitsvorteile der PAW und der Lösung für die berechtigungsverwaltung, zu erhalten, wie in diesem Diagramm dargestellt:Providing a PAW to access these solutions enables you to gain the security benefits of both PAW and the privilege management solution, as depicted in this diagram:

Das Diagramm zeigt, wie Sie die Sicherheit der PAW und der Lösung für die berechtigungsverwaltung profitieren kann Bereitstellung einer PAW für den Zugriff auf diese Lösungen

Hinweis

Diese Systeme sollten auf die höchste Ebene der Berechtigung eingestuft werden, die Sie verwalten, und mindestens auf dieser Ebene geschützt werden.These systems should be classified at the highest tier of the privilege they manage and be protected at or above that level of security. Diese werden häufig zum Verwalten von Ebene-0-Lösungen und Assets der Ebene 0 konfiguriert und auf Ebene 0 klassifiziert werden soll.These are commonly configured to manage Tier 0 solutions and Tier 0 assets and should be classified at Tier 0. Weitere Informationen auf das Ebenenmodell finden Sie unter http://aka.ms/tiermodel finden Sie weitere Informationen zu Gruppen auf Ebene 0, Äquivalenz zur Ebene 0 in Schützen des privilegierten Zugriffs – Referenzmaterial.For more information on the tier model, see http://aka.ms/tiermodel For more information on Tier 0 groups, see Tier 0 equivalency in Securing Privileged Access Reference Material.

Weitere Informationen zum Bereitstellen von Microsoft Identity Manager (MIM) privileged Access Management (PAM) finden Sie unter http://aka.ms/mimpamdeployFor more information on deploying Microsoft Identity Manager (MIM) privileged access management (PAM), see http://aka.ms/mimpamdeploy

Wie verwendet Microsoft Arbeitsstationen für AdministratorenHow Microsoft is using admin workstations

Microsoft verwendet die PAW-Architektur-Ansatz, sowohl intern auf unserer Systeme und unserer Kunden.Microsoft uses the PAW architectural approach both internally on our systems as well as with our customers. Microsoft verwendet Arbeitsstationen für Administratoren intern in einer Reihe von Kapazität, einschließlich der Verwaltung von Microsoft-IT-Infrastruktur, Microsoft Entwicklung und den Betrieb und weitere wertvolle Assets.Microsoft uses administrative workstations internally in a number of capacities including administration of Microsoft IT infrastructure, Microsoft cloud fabric infrastructure development and operations, and other high value assets.

Dieser Leitfaden basiert direkt auf der Privileged Access Workstation PAW-Referenzarchitektur bereitgestellt, die von unseren Expertenteams für cybersicherheit um Kunden vor Cyberangriffen zu schützen.This guidance is directly based on the Privileged Access Workstation (PAW) reference architecture deployed by our cybersecurity professional services teams to protect customers against cybersecurity attacks. Die Arbeitsstationen für Administratoren sind auch ein wichtiges Element der stärksten Schutzfunktion für Verwaltungsaufgaben bei Domäne und der administrativen Gesamtstruktur-Referenzarchitektur Enhanced Security Administrative Environment (ESAE).The administrative workstations are also a key element of the strongest protection for domain administration tasks, the Enhanced Security Administrative Environment (ESAE) administrative forest reference architecture.

Weitere Informationen auf der ESAE-verwaltungsgesamtstruktur finden Sie unter Administrative ESAE-Gesamtstruktur Entwurfsansatz im Abschnitt Schützen des privilegierten Zugriffs – Referenzmaterial.For more details on the ESAE administrative forest, see ESAE Administrative Forest Design Approach section in Securing Privileged Access Reference Material.

Weitere Informationen zum beauftragen von Microsoft-Dienste für die Bereitstellung einer PAW- oder ESAE für Ihre Umgebung erhalten Sie von Ihrem Microsoft-Vertriebsmitarbeiter oder auf dieser Seite.For more information on engaging Microsoft services to deploy a PAW or ESAE for your environment, contact your Microsoft representative or visit this page.

Was ist eine Privileged Access Workstation (PAW)?What is a Privileged Access Workstation (PAW)?

Vereinfacht ausgedrückt ist eine PAW eine gesicherte und gesperrte Arbeitsstation, die für die Verwendung mit hoher Sicherheit Garantien für sensible Konten und Aufgaben.In simplest terms, a PAW is a hardened and locked down workstation designed to provide high security assurances for sensitive accounts and tasks. PAWs werden für die Verwaltung von Identitätssystemen, Cloud-Diensten und privaten cloudfabrics sowie vertrauliche Geschäftsfunktionen empfohlen.PAWs are recommended for administration of identity systems, cloud services, and private cloud fabric as well as sensitive business functions.

Hinweis

Die PAW-Architektur ist eine 1:1-Zuordnung von Konten zu Arbeitsstation, obwohl dies eine häufige Konfiguration ist nicht erforderlich.The PAW architecture doesn't require a 1:1 mapping of accounts to workstations, though this is a common configuration. PAW erstellt eine vertrauenswürdige arbeitsstationsumgebung, die von einem oder mehreren Konten verwendet werden kann.PAW creates a trusted workstation environment that can be used by one or more accounts.

Um die höchstmögliche Sicherheit zu bieten, PAWs sollten immer optimal auf dem neuesten Stand und sicher Betriebssystem ausgeführt verfügbar: empfiehlt Microsoft, Windows10 Enterprise, enthält zahlreiche weitere Sicherheitsfeatures, die in anderen Editionen nicht verfügbar (insbesondere Credential Guard und Device Guard).In order to provide the greatest security, PAWs should always run the most up-to-date and secure operating system available: Microsoft strongly recommends Windows 10 Enterprise, which includes a number of additional security features not available in other editions (in particular, Credential Guard and Device Guard).

Hinweis

Organisationen ohne Zugriff auf Windows10 Enterprise können Windows10 Pro verwenden, die viele der wichtigen grundlegenden Technologien für PAWs, einschließlich der vertrauenswürdige Start, BitLocker und Remotedesktop enthält.Organizations without access to Windows 10 Enterprise can use Windows 10 Pro, which includes many of the critical foundational technologies for PAWs, including Trusted Boot, BitLocker, and Remote Desktop. Kunden im Bildungsbereich können Windows10 Education verwenden.Education customers can use Windows 10 Education. Windows10 Home sollte nicht für eine PAW verwendet werden.Windows 10 Home should not be used for a PAW.

Eine Vergleichsmatrix der verschiedenen Versionen von Windows10, finden Sie unter in diesem Artikel.For a comparison matrix of the different editions of Windows 10, read this article.

Die Sicherheitsmechanismen in PAW sind Eindämmen von den größten Auswirkungen zu wahrscheinlich Risiko der Gefährdung konzentriert.The security controls in PAW are focused on mitigating the highest impact and most likely risks of compromise. Dazu gehören Eindämmen von Angriffen auf die Umgebung und Eindämmen von Risiken, die die PAW-Steuerelemente mit der Zeit beeinträchtigt werden können:These include mitigating attacks on the environment and mitigating risks that the PAW controls may degrade over time:

  • Angriffe aus dem Internet -die meisten Angriffe stammen direkt oder indirekt aus Internetquellen und nutzen Sie das Internet zum Datendiebstahl und Befehl und Steuerelement (C2).Internet attacks - Most attacks originate directly or indirectly from internet sources and use the internet for exfiltration and command and control (C2). Die Isolierung der PAW vom Internet ist ein wichtiges Element, um sicherzustellen, dass die PAW nicht gefährdet ist.Isolating the PAW from the open internet is a key element to ensuring the PAW is not compromised.

  • Einsatzfähigkeit -ist eine PAW zu schwierig für tägliche Aufgaben verwenden, Administratoren werden daran interessiert, die zum Erstellen von Problemumgehungen, um ihre Arbeit zu erleichtern.Usability risk - If a PAW is too difficult to use for daily tasks, administrators will be motivated to create workarounds to make their jobs easier. Diese Problemumgehungen Öffnen häufig die Arbeitsstationen für Administratoren und Konten zu erheblichen Sicherheitsrisiken ausgesetzt, damit es wichtig ist, und zu schulen, die PAW-Benutzer, um diese Probleme hinsichtlich der Verwendbarkeit sicher zu minimieren.Frequently, these workarounds open the administrative workstation and accounts to significant security risks, so it's critical to involve and empower the PAW users to mitigate these usability issues securely. Dies geschieht häufig durch Analysieren deren Feedback, das Installieren der Tools und Skripts, die zum Ausführen ihrer Aufgaben und sicherstellen, dass allen Administratoren erforderlichen kennen warum sie eine PAW, was eine PAW zu verwenden müssen ist, und wie Sie diese richtig und erfolgreich verwenden.This is frequently accomplished by listening to their feedback, installing tools and scripts required to perform their jobs, and ensuring all administrative personnel are aware of why they need to use a PAW, what a PAW is, and how to use it correctly and successfully.

  • Risiken durch die Umgebung -da viele andere Computer und Konten in der Umgebung zu Internet Risiko Verzeichnis oder indirekt verfügbar gemacht werden, muss eine PAW vor Angriffen von kompromittierte Assets in der Produktionsumgebung geschützt werden.Environment risks - Because many other computers and accounts in the environment are exposed to internet risk directory or indirectly, a PAW must be protected against attacks from compromised assets in the production environment. Dies ist erforderlich, begrenzen die Verwaltungstools und Konten, die Zugriff auf den PAWs auf das absolute Minimum zum Sichern und Überwachen dieser speziellen Arbeitsstationen erforderlich.This requires limiting the management tools and accounts that have access to the PAWs to the absolute minimum required to secure and monitor these specialized workstations.

  • Lieferkette : Es ist unmöglich, entfernen alle mögliche Risiken der Manipulation der Lieferkette für Hardware und Software, einige wichtige Aktionen kritische Angriffsvektoren ergeben können, die Angreifer zugänglich sind.Supply chain tampering - While it's impossible to remove all possible risks of tampering in the supply chain for hardware and software, taking a few key actions can mitigate critical attack vectors that are readily available to attackers. Hierzu gehört die Überprüfung der Integrität der sämtlicher Installationsmedien (Prinzip der vertrauenswürdigen Quelle) und mit einem vertrauenswürdigen und seriösen Lieferanten für Hardware und Software.This includes validating the integrity of all installation media (Clean Source Principle) and using a trusted and reputable supplier for hardware and software.

  • Physische Angriffe -PAWs physisch mobile und außerhalb der physisch gesicherten Umgebung verwendet werden können, die sie vor Angriffen, die Nutzung von nicht autorisierten physischen Zugriff auf den Computer geschützt werden müssen.Physical attacks - Because PAWs can be physically mobile and used outside of physically secure facilities, they must be protected against attacks that leverage unauthorized physical access to the computer.

Hinweis

Eine PAW wird eine Umgebung nicht vor einem Angreifer schützen, der bereits administrativen Zugriff über ein Active Directory-Gesamtstruktur erlangt hat.A PAW will not protect an environment from an adversary that has already gained administrative access over an Active Directory Forest. Da viele vorhandene Implementierungen der Active Directory Domain Services seit Jahren mit dem Risiko des Diebstahls von Anmeldeinformationen betrieben werden, sollten Organisationen ausgehen und die Möglichkeit, dass sie eine unerkannte Gefährdung der Domäne oder Organisationsadministrator möglicherweise berücksichtigen.Because many existing implementations of Active Directory Domain Services have been operating for years at risk of credential theft, organizations should assume breach and consider the possibility that they may have an undetected compromise of domain or enterprise administrator credentials. Eine Organisation, die Gefährdung der Domäne vermutet, sollten die Verwendung von professionellen Incidents.An organization that suspects domain compromise should consider the use of professional incident response services.

Weitere Informationen zur Reaktion auf und Wiederherstellung finden Sie unter "Reaktion auf verdächtige Aktivitäten" und "Wiederherstellung nach einem Sicherheitsvorfall"-Abschnitte Mitigating Pass-the-Hash and Other Credential Theft, Version 2.For more information on response and recovery guidance, see the "Respond to suspicious activity" and "Recover from a breach" sections of Mitigating Pass-the-Hash and Other Credential Theft, version 2.

Besuchen Sie Microsoft Vorfällen und Recovery Services um weitere Informationen zu erhalten.Visit Microsoft's Incident Response and Recovery services page for more information.

PAW-HardwareprofilePAW Hardware Profiles

Administratoren sind auch Standardbenutzer zu – sie benötigen also nicht nur eine PAW, sondern auch eine standardmäßige Benutzerarbeitsstation, E-Mails, Durchsuchen des Webs und Zugriff auf Unternehmensdaten Branchenanwendungen.Administrative personnel are also standard users too - they need not only a PAW, but also a standard user workstation to check email, browse the web, and access corporate line of business applications. Um sicherzustellen, dass Administratoren produktive und sichere bleiben können ist für den Erfolg einer PAW-Bereitstellung unerlässlich.Ensuring that administrators can remain both productive and secure is essential to the success of any PAW deployment. Eine sichere Lösung, die Produktivität wird von den Benutzern durch einen abgebrochen werden die Produktivität verbessert (auch wenn es auf unsichere Weise erfolgt).A secure solution that dramatically limits productivity will be abandoned by the users in favor of one that enhances productivity (even if it is done in an insecure manner).

Um die Notwendigkeit der Sicherheit und Produktivität zu verteilen, empfiehlt Microsoft die Verwendung eines der folgenden PAW-Hardwareprofile:In order to balance the need for security with the need for productivity, Microsoft recommends using one of these PAW hardware profiles:

  • Dedizierte Hardware -separate, dedizierte Geräte für Benutzeraufgaben und VerwaltungsaufgabenDedicated hardware - Separate dedicated devices for user tasks vs. administrative tasks

  • gleichzeitige Verwendung -einzelne Geräte, die Benutzer und Verwaltungsaufgaben gleichzeitig ausführen können, durch die Nutzung des Betriebssystems oder einer Präsentation Virtualisierung.Simultaneous Use - Single device that can run user tasks and administrative tasks concurrently by taking advantage of OS or presentation virtualization.

Organisationen können nur eines der Profile oder beide verwenden.Organizations may use only one profile or both. Es bestehen keine Interoperabilitätsprobleme zwischen den Hardwareprofilen, und Organisationen können die Flexibilität, das Hardwareprofil die besonderen Anforderungen und der Situation eines bestimmten Administrators entsprechen.There are no interoperability concerns between the hardware profiles, and organizations have the flexibility to match the hardware profile to the specific need and situation of a given administrator.

Hinweis

Es ist wichtig, dass in all diesen Szenarien administrative Mitarbeiter dürfen ein Standardbenutzerkonto ausgestellt werden, die getrennt von Administratorkonten festgelegt.It is critical that, in all of these scenarios, administrative personnel are issued a standard user account that is separate from designated administrative account(s). Administratorkonten sollten nur unter dem administrativen Betriebssystem der PAW verwendet werden.The administrative account(s) should only be used on the PAW administrative operating system.

Diese Tabelle enthält eine Zusammenfassung der relativen Vorteile und Nachteile der einzelnen Hardwareprofile aus der Perspektive des operative erleichterte Bedienung und Produktivität und Sicherheit.This table summarizes the relative advantages and disadvantages of each hardware profile from the perspective of operational ease-of-use and productivity and security. Beide Ansätze bieten eine hohe Sicherheit für Administratorkonten vor Diebstahl und Wiederverwendung.Both hardware approaches provide strong security for administrative accounts against credential theft and reuse.

SzenarioScenario VorteileAdvantages NachteileDisadvantages
Dedizierter HardwareDedicated hardware – Starkes Signal für die Vertraulichkeit von Aufgaben- Strong signal for sensitivity of tasks
– Strikteste Trennung zur Sicherheit- Strongest security separation
– Zusätzlicher Platzbedarf- Additional desk space
– Höheres Gewicht (bei Remotearbeit)- Additional weight (for remote work)
-Hardware Kosten- Hardware Cost
Gleichzeitige VerwendungSimultaneous use – Geringere Hardwarekosten- Lower hardware cost
– Nur Gerätefunktion- Single device experience
-Risiko unbeabsichtigter Fehler und Risiken erstellt Freigabe einzigen Tastatur und Maus- Sharing single keyboard/mouse creates risk of inadvertent errors/risks

Dieser Leitfaden enthält detaillierten Anweisungen für die PAW-Konfiguration für den Ansatz mit dedizierter Hardware.This guidance contains the detailed instructions for the PAW configuration for the dedicated hardware approach. Besitzen Sie Anforderungen für die gleichzeitige Verwendung Hardwareprofile, können Sie passen Sie die Anweisungen auf der Grundlage dieser Leitfaden selbst oder einen professionellen Dienstleister wie Microsoft zur Unterstützung bei der es einstellen.If you have requirements for the simultaneous use hardware profiles, you can adapt the instructions based on this guidance yourself or hire a professional services organization like Microsoft to assist with it.

Dedizierter HardwareDedicated Hardware

In diesem Szenario wird eine PAW für die Verwaltung verwendet, die unabhängig von den PC für tägliche Aktivitäten wie E-Mail, dokumentbearbeitung und Entwicklung verwendet wird.In this scenario, a PAW is used for administration that is completely separate from the PC that is used for daily activities like email, document editing, and development work. Alle Verwaltungstools und -Anwendungen werden auf der PAW installiert, und alle produktivitätsanwendungen auf der standardarbeitsstation des Benutzers installiert sind.All administrative tools and applications are installed on the PAW and all productivity applications are installed on the standard user workstation. Die Schritt-für-Schritt-Anweisungen in diesem Leitfaden basieren auf diesem Hardwareprofil.The step by step instructions in this guidance are based on this hardware profile.

Gleichzeitige Verwendung: Hinzufügen eines lokalen Benutzers VMSimultaneous Use - Adding a local user VM

In diesem Szenario der gleichzeitigen Verwendung wird ein einziger PC für sowohl für Verwaltungsaufgaben als auch für tägliche Aktivitäten wie E-Mail, dokumentbearbeitung und Entwicklung verwendet.In this simultaneous use scenario, a single PC is used for both administration tasks and daily activities like email, document editing, and development work. In dieser Konfiguration Betriebssystem des Benutzers auch offline verfügbar (zum Bearbeiten von Dokumenten von und Arbeiten mit lokal zwischengespeicherten E-Mails), was allerdings Hardware und supportprozesse, die diese den Offlinezustand unterstützen können.In this configuration, the user operating system is available while disconnected (for editing documents and working on locally cached email), but requires hardware and support processes that can accommodate this disconnected state.

Das Diagramm zeigt einzigen PC in einem Szenario der gleichzeitigen Verwendung sowohl für Verwaltungsaufgaben als auch für tägliche Aktivitäten zum wie E-Mail, dokumentbearbeitung und Entwicklung

Die physische Hardware werden lokal zwei Betriebssysteme ausgeführt:The physical hardware runs two operating systems locally:

  • Administratorbetriebssystem -der physische Host führt Windows10 auf der PAW-Host für VerwaltungsaufgabenAdmin OS - The physical host runs Windows 10 on the PAW host for Administrative tasks

  • Benutzerbetriebssystem -ein Windows10 Client Hyper-V-VM-Gast wird ein Unternehmensimage ausgeführt.User OS - A Windows 10 client Hyper-V virtual machine guest runs a corporate image

Mit Windows 10Hyper-V kann ein virtueller Gastcomputer (auch unter Windows10) eine umfassenden Benutzeroberfläche einschließlich Audio-, Video- und kommunikationsanwendungen z.B. Skype for Business Internet haben.With Windows 10Hyper-V, a guest virtual machine (also running Windows 10) can have a rich user experience including sound, video, and Internet communications applications such as Skype for Business.

In dieser Konfiguration erfolgt tägliche Aufgaben, die keine Administratorrechte erfordert in der virtuellen Computer ein regulären Windows10-Unternehmensimage und unterliegen den PAW-Host zugewiesen ist.In this configuration, daily work that does not require administrative privileges is done in the user OS virtual machine which has a regular corporate Windows 10 image and is not subject to restrictions applied to the PAW host. Alle administrativen Arbeit wird im administratorbetriebssystem ausgeführt.All administrative work is done on the Admin OS.

Um dies zu konfigurieren, folgen Sie den Anweisungen in dieser Anleitung für den PAW-Host, fügen Sie Client Hyper-V-Features hinzu, erstellen Sie einen virtuellen Benutzercomputer und installieren Sie ein Windows10-Unternehmensimage auf dem virtuellen Benutzercomputer.To configure this, follow the instructions in this guidance for the PAW host, add Client Hyper-V features, create a User VM, and then install a Windows 10 corporate image on the User VM.

Lesen Hyper-V für Clients Artikel Weitere Informationen zu dieser Funktion.Read Client Hyper-V article for more information about this capability. Bitte beachten Sie, dass das Betriebssystem auf virtuellen Gastcomputern für die Lizenzierung pro müssen Microsoft-Produktlizenzierungauch beschriebenen hier.Please note that the operating system in guest virtual machines will need to be licensed per Microsoft product licensing, also described here.

Gleichzeitige Verwendung: Hinzufügen von RemoteApp, RDP oder einer VDISimultaneous Use - Adding RemoteApp, RDP, or a VDI

In diesem Szenario der gleichzeitigen Verwendung wird ein einziger PC für beide Verwaltungsaufgaben verwendet und tägliche Aktivitäten wie E-Mail, dokumentbearbeitung und Entwicklung eingesetzt.In this simultaneous use scenario, a single PC is used for both administration tasks and daily activities like email, document editing and development work. In dieser Konfiguration werden die Benutzer-Betriebssysteme werden zentral bereitgestellt und verwaltet (in der Cloud oder in Ihrem Rechenzentrum), jedoch nicht verfügbar, während die Verbindung getrennt.In this configuration, the user operating systems are deployed and managed centrally (on the cloud or in your datacenter), but aren't available while disconnected.

Die Abbildungzeigt einen einzigen PC in einem Szenario der gleichzeitigen Verwendung für beide Verwaltungsaufgaben verwendet und tägliche Aktivitäten wie E-Mail, dokumentbearbeitung und Entwicklung eingesetzt

Die physische Hardware wird ein einzelnes PAW-Betriebssystem für administrative Aufgaben lokal ausgeführt und eine Verbindung mit einem Microsoft bzw. 3rd Party Remotedesktopdienst für benutzeranwendungen wie E-Mail, dokumentbearbeitung und Branchenanwendungen.The physical hardware runs a single PAW operating system locally for administrative tasks and contacts a Microsoft or 3rd party remote desktop service for user applications such as email, document editing, and line of business applications.

In dieser Konfiguration erfolgt tägliche Aufgaben, die keine Administratorrechte in den Remotebetriebssystemen und Anwendungen, die nicht unterliegen den PAW-Host zugewiesen werden.In this configuration, daily work that does not require administrative privileges is done in the Remote OS(es) and applications which are not subject to restrictions applied to the PAW host. Alle administrativen Arbeit wird im administratorbetriebssystem ausgeführt.All administrative work is done on the Admin OS.

Um dies zu konfigurieren, befolgen Sie die Anweisungen in dieser Anleitung für den PAW-Host, Netzwerkkonnektivität mit den Remotedesktopdiensten zulassen und dann Verknüpfungen zum Benutzerdesktop der PAW den Zugriff auf die Anwendungen hinzufügen.To configure this, follow the instructions in this guidance for the PAW host, allow network connectivity to the Remote Desktop services, and then add shortcuts to the PAW user's desktop to access the applications. Die Remotedesktopdienste konnte in vielen u. a. gehostet werden:The remote desktop services could be hosted in many ways including:

  • Ein vorhandener Remotedesktop- oder VDI-Dienst (lokal oder in der Cloud)An existing Remote Desktop or VDI service (on-premises or in the cloud)

  • Einen neuen Dienst, die Installation von lokalen oder in der CloudA new service you install on-premises or in the cloud

  • Azure RemoteApp unter Verwendung vorkonfigurierter Office365-Vorlagen oder Ihrer eigenen InstallationsimagesAzure RemoteApp using pre-configured Office 365 templates or your own installation images

Weitere Informationen zu Azure RemoteApp finden Sie auf auf dieser Seite.For more information on Azure RemoteApp, visit this page.

PAW-SzenarienPAW Scenarios

Dieser Abschnittenthält Richtlinien, die auf welche Szenarien dieser PAW-Leitfaden angewendet werden soll.This section contains guidance on which scenarios this PAW guidance should be applied to. In allen Szenarien sollten Administratoren Sie nur die PAWs für Supportaufgaben für Remotesysteme geschult werden.In all scenarios, administrators should be trained to only use PAWs for performing support of remote systems. Um die erfolgreiche und sichere Nutzung zu unterstützen, sollte alle PAW-Benutzer werden ebenfalls gefördert werden anbieten, um Feedback für die PAWS zu verbessern und das Feedback für die Integration in Ihr PAW-Programm sorgfältig geprüft werden müssen.To encourage successful and secure usage, all PAW users should be also be encouraged to provide feedback to improve the PAW experience and this feedback should be reviewed carefully for integration with your PAW program.

In allen Szenarien können in späteren Phasen zusätzliche Sicherheitsmaßnahmen sowie verschiedene Hardwareprofile in dieser Anleitung verwendet werden, um die verwendbarkeits- oder Sicherheitsanforderungen der Rollen zu erfüllen.In all scenarios, additional hardening in later phases and different hardware profiles in this guidance may be used to meet the usability or security requirements of the roles.

Hinweis

Beachten Sie, dass diese Anleitung unterschieden zwischen dem erforderlichen Zugriff auf bestimmte Dienste im Internet (z.B. Azure und Office365-Verwaltungsportale) und dem "offenen Internet" für alle Hosts und -Dienste.Note that this guidance explicitly differentiates between requiring access to specific services on the internet (such as Azure and Office 365 administrative portals) and the "Open Internet" of all hosts and services.

Weitere Informationen finden Sie unter der Ebenenmodell Weitere Informationen über die ebenenbezeichnungen.See the Tier model page for more information on the Tier designations.

SzenarienScenarios Verwenden Sie die PAW?Use PAW? Umfang und Überlegungen zur SicherheitScope and Security Considerations
Active Directory-Administratoren – Ebene 0Active Directory Admins - Tier 0 JaYes Eine Anleitung für Phase 1 erstellte PAW ist für diese Rolle ausreichend.A PAW built with Phase 1 guidance is sufficient for this role.

– Eine verwaltungsgesamtstruktur kann hinzugefügt werden, um den stärksten Schutz für dieses Szenario bereitzustellen.- An administrative forest can be added to provide the strongest protection for this scenario. Weitere Informationen auf der ESAE-verwaltungsgesamtstruktur finden Sie unter Administrative ESAE-Gesamtstruktur EntwurfsansatzFor more information on the ESAE administrative forest, see ESAE Administrative Forest Design Approach
– Eine PAW kann für die Verwaltung von mehreren Domänen oder über mehrere Gesamtstrukturen verwendet werden.- A PAW can be used to managed multiple domains or multiple forests.
– Wenn Domänencontroller in einer Infrastruktur als Service (IaaS) oder lokalen Virtualisierungslösung gehostet werden, sollten Sie priorisieren, Implementierung der PAWs für die Administratoren dieser Lösungen- If Domain Controllers are hosted on an Infrastructure as a Service (IaaS) or on-premises virtualization solution, you should prioritize implementing PAWs for the administrators of those solutions
Der Administrator des Azure IaaS und PaaS-Services - Ebene 0 oder Ebene 1 (Siehe Bereich und Überlegungen zum Entwurf)Admin of Azure IaaS and PaaS services - Tier 0 or Tier 1 (see Scope and Design Considerations) JaYes Eine gemäß der Anleitung für Phase 2 erstellte PAW ist für diese Rolle ausreichend.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

– PAWs sollten für mindestens verwendet werden der globale Administrator und Abonnementabrechnung Administrator.- PAWs should be used for at least the Global administrator and Subscription Billing administrator. Sie sollten auch PAWs für delegierte Administratoren kritischer oder vertraulicher Server verwenden.You should also use PAWs for delegated administrators of critical or sensitive servers.
– PAWs sollten für die Verwaltung des Betriebssystems verwendet werden, und Anwendungen, die Verzeichnissynchronisierung sowie Identitätsverbund für Cloud-Dienste wie z.B. Azure AD Connect und Active Directory Federation Services (AD FS).- PAWs should be used for managing the operating system and applications that provide Directory Synchronization and Identity Federation for cloud services such as Azure AD Connect and Active Directory Federation Services (ADFS).
– Die Einschränkungen für ausgehenden Netzwerkdatenverkehr dürfen Verbindungen nur mit autorisierten Clouddiensten, gemäß Anleitung für Phase 2 zulassen.- The outbound network restrictions must allow connectivity only to authorized cloud services using the guidance in Phase 2. Kein offener Internetzugang sollten auf PAWs zugelassen werden.No open internet access should be allowed from PAWs.
– EMET sollte für alle auf der Arbeitsstation verwendeten Browser konfiguriert werden Hinweis: ein Abonnement wird als Ebene 0 für eine Gesamtstruktur sein, wenn sich Domänencontroller oder andere Hosts auf Ebene 0 im Abonnement befinden.- EMET should be configured for all browsers used on the workstation Note: A subscription is considered to be Tier 0 for a Forest if Domain Controllers or other Tier 0 hosts are in the subscription. Ein Abonnement ist Ebene 1, wenn keine Server der Ebene 0 in Azure gehostet werdenA subscription is Tier 1 if no Tier 0 servers are hosted in Azure
Verwalten von Office365-MandantenAdmin Office 365 Tenant
-Ebene 1- Tier 1
JaYes Eine gemäß der Anleitung für Phase 2 erstellte PAW ist für diese Rolle ausreichend.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

– PAWs sollten für mindestens verwendet werden die Abonnementabrechnung Administrator, globaler Administrator, Exchange-Administrator, SharePoint-Administrator und Benutzer Management-Administratorrollen.- PAWs should be used for at least the Subscription Billing administrator, Global administrator, Exchange administrator, SharePoint administrator, and User management administrator roles. Sie sollten auch unbedingt die Verwendung von PAWs für delegierte Administratoren höchst kritischer oder sensibler Daten erwägen.You should also strongly consider the use of PAWs for delegated administrators of highly critical or sensitive data.
– EMET sollte für alle auf der Arbeitsstation verwendeten Browser konfiguriert werden- EMET should be configured for all browsers used on the workstation
– Die Einschränkungen für ausgehenden Netzwerkdatenverkehr dürfen Verbindungen nur mit Microsoft-Diensten, gemäß Anleitung für Phase 2 zulassen.- The outbound network restrictions must allow connectivity only to Microsoft services using the guidance in Phase 2. Kein offener Internetzugang sollten auf PAWs zugelassen werden.No open internet access should be allowed from PAWs.
Anderer IaaS-der PaaS-ClouddiensteOther IaaS or PaaS cloud service admin
– Ebene 0 oder Ebene 1 (Siehe Bereich und Überlegungen zum Entwurf)- Tier 0 or Tier 1 (see Scope and Design Considerations)
Eine gemäß der Anleitung für Phase 2 erstellte PAW ist für diese Rolle ausreichend.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

– PAWs sollten für alle Rollen verwendet werden, die über Administratorrechte verfügen über Cloud gehostete virtuelle Computer einschließlich der Möglichkeit Agents installieren, der Export von Festplattendateien oder Zugriff auf Speichersysteme, in der Festplattenlaufwerke mit Betriebssystemen, sensiblen Daten oder geschäftskritischen Daten gespeichert.- PAWs should be used for any role that has administrative rights over cloud hosted VMs including the ability to install agents, export hard disk files, or access storage where hard drives with operating systems, sensitive data, or business critical data is stored.
– Die Einschränkungen für ausgehenden Netzwerkdatenverkehr dürfen Verbindungen nur mit Microsoft-Diensten, gemäß Anleitung für Phase 2 zulassen.- The outbound network restrictions must allow connectivity only to Microsoft services using the guidance in Phase 2. Kein offener Internetzugang sollten auf PAWs zugelassen werden.No open internet access should be allowed from PAWs.
– EMET sollte für alle auf der Arbeitsstation verwendeten Browser konfiguriert werden.- EMET should be configured for all browsers used on the workstation. Hinweis: ein Abonnement Ebene 0 für eine Gesamtstruktur ist, wenn sich Domänencontroller oder andere Hosts auf Ebene 0 im Abonnement befinden.Note: A subscription is Tier 0 for a Forest if Domain Controllers or other Tier 0 hosts are in the subscription. Ein Abonnement ist Ebene 1, wenn keine Server der Ebene 0 in Azure gehostet werden.A subscription is Tier 1 if no Tier 0 servers are hosted in Azure.
Virtualization-AdministratorenVirtualization Administrators
– Ebene 0 oder Ebene 1 (Siehe Bereich und Überlegungen zum Entwurf)- Tier 0 or Tier 1 (see Scope and Design Considerations)
JaYes Eine gemäß der Anleitung für Phase 2 erstellte PAW ist für diese Rolle ausreichend.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

– PAWs sollten für alle Rollen verwendet werden, die über Administratorrechte verfügen über VMs einschließlich der Möglichkeit zum Installieren von Agents, der Export von virtuellen Festplattendateien oder Zugriff auf Speichersysteme, in der Festplattenlaufwerke mit Informationen zu Gastbetriebssystemen, sensiblen Daten oder geschäftskritischen Daten gespeichert.- PAWs should be used for any role that has administrative rights over VMs including the ability to install agents, export virtual hard disk files, or access storage where hard drives with guest operating system information, sensitive data, or business critical data is stored. Hinweis: ein Virtualisierungssystem (und die zugehörigen Administratoren) gelten Ebene 0 für eine Gesamtstruktur, wenn sich Domänencontroller oder andere Hosts auf Ebene 0 im Abonnement befinden.Note: A virtualization system (and its admins) are considered Tier 0 for a Forest if Domain Controllers or other Tier 0 hosts are in the subscription. Ein Abonnement ist Ebene 1, wenn keine Server der Ebene 0 im Virtualisierungssystem gehostet werden.A subscription is Tier 1 if no Tier 0 servers are hosted in the virtualization system.
Die ServerwartungServer Maintenance Admins
-Ebene 1- Tier 1
JaYes Eine gemäß der Anleitung für Phase 2 erstellte PAW ist für diese Rolle ausreichend.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

– Eine PAW sollte für Administratoren verwendet werden, die Aktualisierung, Patching und Problembehandlung von Unternehmensservern und -Apps unter Windows Server, Linux und anderen Betriebssystemen.- A PAW should be used for administrators that update, patch, and troubleshoot enterprise servers and apps running Windows server, Linux, and other operating systems.
-Dedizierte Verwaltungstools müssen auf PAWs, um den größeren dieser Administratoren abzudecken.- Dedicated management tools may need to be added for PAWs to handle the larger scale of these admins.
Für BenutzerarbeitsstationenUser Workstation Admins
-Ebene 2- Tier 2
JaYes Eine Anleitung für Phase 2 erstellte PAW ist für Rollen, die über Administratorrechte für den Endbenutzer-Geräte (z.B. Helpdesk und Deskside Rollen unterstützen) ausreichend.A PAW built using guidance provided in Phase 2 is sufficient for roles that have administrative rights on end user devices (such as helpdesk and deskside support roles).

-Zusätzliche Anwendungen müssen möglicherweise auf den PAWs ticketmanagement und andere Supportfunktionen aktivieren installiert werden.- Additional applications may need to be installed on PAWs to enable ticket management and other support functions.
– EMET sollte für alle auf der Arbeitsstation verwendeten Browser konfiguriert werden.- EMET should be configured for all browsers used on the workstation.
Möglicherweise müssen dedizierte Verwaltungstools auf PAWs, um den größeren dieser Administratoren abzudecken.Dedicated management tools may need to be added for PAWs to handle the larger scale of these admins.
SQL-, SharePoint- oder Zeile der Branchen-AdministratorSQL, SharePoint, or line of business (LOB) Admin
-Ebene 1- Tier 1
Eine Anleitung für Phase 2 erstellte PAW ist für diese Rolle ausreichend.A PAW built with Phase 2 guidance is sufficient for this role.

-Zusätzliche Verwaltungstools müssen auf den PAWs können Administratoren Anwendungen verwalten, ohne Verbindung mit Servern, die mithilfe von Remotedesktop installiert werden.- Additional management tools may need to be installed on PAWs to allow administrators to manage applications without needing to connect to servers using Remote Desktop.
Benutzer in sozialen Medien verwaltenUsers Managing Social Media Presence TeilweisePartially Eine gemäß der Anleitung für Phase 2 erstellte PAW kann als Ausgangspunkt zur Bereitstellung von Sicherheit für diese Rollen verwendet werden.A PAW built using the guidance provided in Phase 2 can be used as a starting point to provide security for these role.

– Schützen und Verwalten von Social-Media-Konten, die mithilfe von Azure Active Directory (AAD) für freigeben, schützen und Tracking-Zugriff auf Konten in sozialen.- Protect and manage social media accounts using Azure Active Directory (AAD) for sharing, protecting, and tracking access to social media accounts.
Weitere Informationen zu dieser Funktion finden Sie unter in diesem Blogbeitrag.For more information on this capability read this blog post.
– Die Einschränkungen für ausgehenden Netzwerkdatenverkehr dürfen Verbindungen mit diesen Diensten zulassen.- The outbound network restrictions must allow connectivity to these services. Dies kann erfolgen, indem Sie offene Internetverbindungen (sehr viel höheres Sicherheitsrisiko, das viele PAWS aushebelt) oder nur erforderliche DNS-Adressen für den Dienst (es kann schwierig sein, um zu erhalten) ermöglicht.This can be done by allowing open internet connections (much higher security risk that negates many PAW assurances) or by allowing only required DNS addresses for the service (may be challenging to obtain).
StandardbenutzerStandard Users NeinNo Während viele Sicherheitsschritte für Standardbenutzer verwendet werden können, soll PAW Konten vom offenen Internetzugriff zu isolieren, die meisten Benutzer für Ihre täglichen Aufgaben benötigen.While many hardening steps can be used for standard users, PAW is designed to isolate accounts from the open internet access that most users require for job duties.
Gast VDI/KioskGuest VDI/Kiosk NeinNo Während viele Sicherheitsschritte für ein kiosksystem für Gäste verwendet werden können, dient die PAW-Architektur zum Erhöhen der Sicherheit für hochsensible Konten, nicht erhöhen der Sicherheit für weniger vertrauliche Konten bereitzustellen.While many hardening steps can be used for a kiosk system for guests, the PAW architecture is designed to provide higher security for high sensitivity accounts, not higher security for lower sensitivity accounts.
VIP-Benutzer (Executive, Forschungsmitarbeiter usw.).VIP User (Executive, Researcher, etc.) TeilweisePartially Eine Anleitung für Phase 2 erstellte PAW kann als Ausgangspunkt verwendet werden, zur Bereitstellung von Sicherheit für diese RollenA PAW built using guidance provided in Phase 2 can be used as a starting point to provide security for these roles

– Dieses Szenario ist vergleichbar mit einem standardmäßigen Benutzerdesktop, aber in der Regel ist ein kleiner, einfacher und bekanntes Anwendungsprofil.- This scenario is similar to a standard user desktop, but typically has a smaller, simpler, and well-known application profile. Dieses Szenario erfordert in der Regel erkennen und schützen sensible Daten, Dienste und Anwendungen (die möglicherweise nicht auf den Desktops installiert).This scenario typically requires discovering and protecting sensitive data, services, and applications (which may or may not be installed on the desktops).
– Diese Rollen erfordern üblicherweise ein hohes Maß an Sicherheit und sehr hohes Maß an Benutzerfreundlichkeit, die erfordern Designänderungen vor, um die benutzeranforderungen zu erfüllen.- These roles typically require a high degree of security and very high degree of usability, which require design changes to meet user preferences.
Industrielle Steuerungssysteme (z.B. SCADA, PCN und DCS)Industrial control systems (e.g. SCADA, PCN, and DCS) TeilweisePartially Eine Anleitung für Phase 2 erstellte PAW kann verwendet werden als Ausgangspunkt zur Bereitstellung von Sicherheit für diese Rollen als die meisten ICS keine Konsolen (einschließlich solcher allgemeinen Standards wie SCADA und PCN) das offene Internet oder E-Mails erfordern.A PAW built using guidance provided in Phase 2 can be used as a starting point to provide security for these roles as most ICS consoles (including such common standards as SCADA and PCN) don't require browsing the open Internet and checking email.

– Anwendungen für die Steuerung physischer Computer integriert und ihre Kompatibilität getestet und angemessen geschützt werden müssen- Applications used for controlling physical machinery would have to be integrated and tested for compatibility and protected appropriately
Embedded-BetriebssystemEmbedded Operating System NeinNo Während viele Sicherheitsschritte für PAWS für integrierte Betriebssysteme verwendet werden können, muss eine benutzerdefinierte Lösung für die Härtung in diesem Szenario entwickelt werden.While many hardening steps from PAW can be used for embedded operating systems, a custom solution would need to be developed for hardening in this scenario.

Hinweis

kombinierte Szenarien einige Mitarbeiter sind möglicherweise Verwaltungsaufgaben, die mehrere Szenarien umfassen.Combination scenarios some personnel may have administrative responsibilities that span multiple scenarios. In diesen Fällen sind wichtigen Regeln zu beachten, dass jederzeit die Regeln befolgt werden müssen.In these cases, the key rules to keep in mind are that the Tier model rules must be followed at all times. Finden Sie weitere Informationen im Ebenenmodell.See the Tier model page for more information.

Hinweis

Skalieren des PAW-Programms Ihr PAW-Programm skaliert, um weitere Administratoren und Rollen abzudecken, müssen Sie weiterhin sicherstellen, dass Sie zur Einhaltung der Sicherheits- und verwalten.Scaling the PAW Program as your PAW program scales to encompass more admins and roles, you need to continue to ensure that you maintain adherence to the security standards and usability. Dies erfordert möglicherweise zum Aktualisieren Ihrer IT Strukturen unterstützen oder neue erstellen, um PAW-spezifische Herausforderungen wie etwa den onboardingprozess, Incident Management, Verwaltung, zu beheben und Sammeln von Feedback an Adresse Verwendbarkeit bewältigen.This may require you to update your IT support structures or create new ones to resolve PAW specific challenges such as PAW onboarding process, incident management, configuration management, and gathering feedback to address usability challenges. Ein Beispiel hierfür ist möglicherweise, dass Ihre Organisation entscheidet, arbeiten von zu Hause um Szenarien zu ermöglichen Administratoren, die eine Verschiebung von Desktop-PAWs Laptop-paws eingesetzt werden – eine Schicht, die zusätzliche Sicherheitsaspekte zu bedenken sind zur Folge haben.One example may be that your organization decides to enable work-from-home scenarios for administrators, which would necessitate a shift from desktop PAWs to laptop PAWs - a shift which may necessitate additional security considerations. Ein weiteres häufiges Beispiel ist zum Erstellen oder Aktualisieren von Schulungen für neue Administratoren. solche Schulungen jetzt Inhalte zur ordnungsgemäßen Verwendung einer paw enthalten muss (warum ihr Einsatz so wichtig ist und was eine PAW ist und nicht).Another common example is to create or update training for new administrators - training which must now include content on the appropriate use of a PAW (including why its important and what a PAW is and isn't). Weitere Aspekte, die beim berücksichtigt werden müssen, wie Sie Ihr PAW-Programm skaliert werden, finden Sie in Phase 2 der Anweisungen.For more considerations which must be addressed as you scale your PAW program, see Phase 2 of the instructions.

Dieser Leitfaden enthält detaillierten Anweisungen für die PAW-Konfiguration für die Szenarien, wie oben bereits erwähnt.This guidance contains the detailed instructions for the PAW configuration for the scenarios as noted above. Wenn Sie für andere Szenarien benötigen, können Sie passen Sie die Anweisungen auf der Grundlage dieser Leitfaden selbst oder einen professionellen Dienstleister wie Microsoft zur Unterstützung bei der es einstellen.If you have requirements for the other scenarios, you can adapt the instructions based on this guidance yourself or hire a professional services organization like Microsoft to assist with it.

Weitere Informationen zum beauftragen von Microsoft-Dienste für eine PAW, die speziell für Ihre Umgebung entwerfen, wenden Sie sich an Ihrem Microsoft-Vertriebsmitarbeiter oder besuchen Sie auf dieser Seite.For more information on engaging Microsoft services to design a PAW tailored for your environment, contact your Microsoft representative or visit this page.

Installationsanweisungen für PAWSPAW Installation instructions

Da die PAW eine sichere und vertrauenswürdige Quelle für die Verwaltung bereitstellen muss, ist es wichtig, dass der Buildprozess sicher und vertrauenswürdig ist.Because the PAW must provide a secure and trusted source for administration, it's essential that the build process is secure and trusted. In diesem Abschnitterhalten Sie detaillierte Anweisungen, mit die Sie Ihre eigene PAW verwenden allgemeine Prinzipien erstellen können und Konzepte, die sehr ähnlich denen von Microsoft-IT und Microsoft cloudentwicklungs- und Dienstverwaltungsorganisationen.This section will provide detailed instructions which will allow you to build your own PAW using general principles and concepts very similar to those used by Microsoft IT and Microsoft cloud engineering and service management organizations.

Die Anweisungen sind der Schwerpunkt liegt auf Bereitstellen der wichtigsten Maßnahmen schnell nach und nach erhöhen und erweitern die Nutzung der PAWS für das Unternehmen in drei Phasen unterteilt.The instructions are divided into three phases which focus on putting the most critical mitigations in place quickly and then progressively increasing and expanding the usage of PAW for the enterprise.

  • Phase 1: sofortige Bereitstellung für Active Directory-AdministratorenPhase 1 - Immediate Deployment for Active Directory Administrators

  • Phase 2: Erweitern des PAW auf alle AdministratorenPhase 2 - Extend PAW to all administrators

  • Phase 3: Erweiterte PAW-SicherheitPhase 3 - Advanced PAW security

Es ist wichtig zu beachten, dass die Phasen immer in der Reihenfolge ausgeführt werden soll, auch wenn sie geplant und im Rahmen desselben Gesamtprojekts implementiert.It is important to note that the phases should always be performed in order even if they are planned and implemented as part of the same overall project.

Phase 1: sofortige Bereitstellung für Active Directory-AdministratorenPhase 1 - Immediate Deployment for Active Directory Administrators

Zweck: Bietet eine PAW schnell, die lokalen Domänen- und Verwaltungsfunktionen schützen kann.Purpose: Provides a PAW quickly that can protect on-premises domain and forest administration roles.

Einsatzbereich: Administratoren der Ebene 0 einschließlich Organisations-Admins, Domänen-Admins (für alle Domänen) und Administratoren von anderen autorisierenden Identitätssystemen.Scope: Tier 0 Administrators including Enterprise Admins, Domain Admins (for all domains), and administrators of other authoritative identity systems.

Phase 1 konzentriert sich auf die Administratoren, die Ihre lokalen Active Directory-Domäne zu verwalten und die extrem wichtige Rollen, die häufig Ziel von Angreifern sind.Phase 1 focuses on the administrators who manage your on-premises Active Directory domain, which are critically important roles frequently targeted by attackers. Diese Identitätssysteme funktionieren effektiv schützen diese Administratoren, ob Ihre Active Directory-Domänencontroller (DCs) in lokalen Rechenzentren, in Azure Infrastructure-as-a-Service (IaaS) oder einem anderen IaaS-Anbieter gehostet werden.These identity systems will work effectively for protecting these admins whether your Active Directory Domain Controllers (DCs) are hosted in on-premises datacenters, on Azure Infrastructure as a Service (IaaS), or another IaaS provider.

In dieser Phase erstellen Sie sichere administrative Organisationseinheit (OU) Struktur von Active Directory zum Hosten der Arbeitsstation mit privilegiertem Zugriff (PAW) als auch die PAWs selbst bereitstellen.During this phase, you will create the secure administrative Active Directory organizational unit (OU) structure to host your privileged access workstation (PAW), as well as deploy the PAWs themselves. Diese Struktur umfasst auch die Gruppenrichtlinien und Gruppen, um die Unterstützung der PAWS erforderlich sind.This structure also includes the group policies and groups required to support the PAW. Erstellen Sie die meisten der Struktur mithilfe von PowerShell-Skripts, die in verfügbaren TechNet Gallery.You will create most of the structure using PowerShell scripts which are available at TechNet Gallery.

Die Skripts werden die folgenden Organisationseinheiten und Sicherheitsgruppen erstellen:The scripts will create the following OUs and Security Groups:

  • Organisationseinheiten (OE)Organizational Units (OU)

    • Organisationseinheiten mit sechs neue auf oberster Ebene: Admin; Gruppen; Ebene-1-Servern. Arbeitsstationen; Benutzerkonten; und Computer Quarantine.Six new top-level OUs: Admin; Groups; Tier 1 Servers; Workstations; User Accounts; and Computer Quarantine. Jede OE auf oberster Ebene enthält eine Reihe von untergeordneten Organisationseinheiten.Each top-level OU will contain a number of child OUs.
  • GruppenGroups

    • Sechs neue sicherheitsaktivierte globale Gruppen: Tier 0 Replication Maintenance; Tier 1 Server Maintenance; Service Desk Operators; Workstation Maintenance; PAW-Benutzer; PAW Maintenance.Six new security-enabled global groups: Tier 0 Replication Maintenance; Tier 1 Server Maintenance; Service Desk Operators; Workstation Maintenance; PAW Users; PAW Maintenance.

Außerdem erstellen Sie eine Anzahl der Gruppenrichtlinienobjekte: PAW-Konfiguration – Computer. PAW-Konfiguration – Benutzer; RestrictedAdmin erforderlich – Computer; PAW Outbound Restrictions; Beschränken Sie die Anmeldung an der Arbeitsstation. Beschränken Sie Server-Anmeldung.You will also create a number of group policy objects: PAW Configuration - Computer; PAW Configuration - User; RestrictedAdmin Required - Computer; PAW Outbound Restrictions; Restrict Workstation Logon; Restrict Server Logon.

Phase 1 umfasst die folgenden Schritteaus:Phase 1 includes the following steps:

  1. Führen Sie die erforderlichen KomponentenComplete the Prerequisites

    1. Stellen Sie sicher, dass alle Administratoren getrennte Konten für Verwaltung und Endbenutzeraktivitäten verwenden (einschließlich E-Mail, das Browsen im Internet, Line-of-Business-Anwendungen und andere nicht administrativer Aktivitäten).Ensure that all administrators use separate, individual accounts for administration and end user activities (including email, Internet browsing, line-of-business applications, and other non-administrative activities). Zuweisen von einem Administratorkonto an jedem autorisierten Mitarbeiter getrennt vom Standardbenutzerkonto ist für das PAW-Modell, da nur bestimmte Konten PAW anmelden dürfen.Assigning an administrative account to each authorized personnel separate from their standard user account is fundamental to the PAW model, as only certain accounts will be permitted to log onto the PAW itself.

      Hinweis

      Jeder Administrator sollte sein eigenes Konto für die Verwaltung verwenden.Each administrator should use his or her own account for administration. Freigeben Sie ein Administratorkonto nicht.Do not share an administrative account.

    2. Minimieren Sie die Anzahl der Administratoren mit Berechtigungen auf Ebene 0.Minimize the number of Tier 0 privileged administrators. Da jeder Administrator eine PAW verwenden muss, reduziert das Reduzieren der Anzahl der Administratoren die Anzahl der PAWs erforderlich, um sie und die damit verbundenen Kosten zu unterstützen.Because each administrator must use a PAW, reducing the number of administrators reduces the number of PAWs required to support them and the associated costs. Eine geringere Anzahl von Administratoren senkt zudem eine potenzielle Gefährdung der Administratorrechte und die damit verbundenen Risiken.The lower count of administrators also results in lower exposure of these privileges and associated risks. Es ist, zwar möglich, Administratoren an einem Ort eine PAW gemeinsam nutzen werden Administratoren in separaten physischen Standorten dagegen benötigen getrennte PAWs.While it is possible for administrators in one location to share a PAW, administrators in separate physical locations will require separate PAWs.

    3. Erwerben Sie die Hardware bei einem vertrauenswürdigen Lieferanten, die alle technischen Anforderungen erfüllt.Acquire hardware from a trusted supplier that meets all technical requirements. Microsoft empfiehlt, Erwerb von Hardware, die erfüllt die technischen Anforderungen im Artikel Schützen von Domänenanmeldeinformationen mit Credential Guard.Microsoft recommends acquiring hardware that meets the technical requirements in the article Protect domain credentials with Credential Guard.

      Hinweis

      PAW installiert auf Hardware ohne diese Funktionen kann erhebliche Schutzmaßnahmen, aber erweiterte Sicherheitsfunktionen wie Credential Guard und Device Guard werden nicht verfügbar sein.PAW installed on hardware without these capabilities can provide significant protections, but advanced security features such as Credential Guard and Device Guard will not be available. Credential Guard und Device Guard sind für die Bereitstellung in Phase 1 nicht erforderlich, aber wird dringend empfohlen, im Rahmen von Phase 3 (Erweiterte Sicherung).Credential Guard and Device Guard are not required for Phase 1 deployment, but are strongly recommended as part of Phase 3 (advanced hardening).

      Stellen Sie sicher, dass die für die PAW verwendete Hardware bezogen ist ein Hersteller und Lieferanten, deren Sicherheitsmethoden von der Organisation als vertrauenswürdig eingestuft werden.Ensure that the hardware used for the PAW is sourced from a manufacturer and supplier whose security practices are trusted by the organization. Dies ist eine Anwendung des Prinzips der vertrauenswürdigen Quelle auf die Sicherheit in der Lieferkette.This is an application of the clean source principle to supply chain security.

      Hinweis

      Weitere Hintergrundinformationen zur Bedeutung der Sicherheit geben, finden Sie unter dieser Website.For more background on the importance of supply chain security, visit this site.

    4. Erwerben Sie, und überprüfen Sie die erforderlichen Windows10 Enterprise Edition und der Anwendungssoftware.Acquire and validate the required Windows 10 Enterprise Edition and application software. Die für die PAWS erforderliche Software beziehen, und überprüfen sie anhand der Anleitung in vertrauenswürdige Quelle für Installationsmedien.Obtain the software required for PAW and validate it using the guidance in Clean Source for installation media.

    5. Sicherstellen, dass Sie WSUS-Server verfügbar im Intranet.Ensure you have WSUS server available on the intranet. Sie benötigen einen WSUS-Server im Intranet zum Herunterladen und Installieren von Updates für die PAW.You will need a WSUS server on the intranet to download and install updates for PAW. Dieser WSUS-Server sollten konfiguriert werden, dass alle Sicherheitsupdates für Windows10 automatisch genehmigt, oder eine administrative Mitarbeiter verfügen Verantwortung und Verantwortlichkeit schnell Softwareupdates genehmigen.This WSUS server should be configured to automatically approve all security updates for Windows 10 or an administrative personnel should have responsibility and accountability to rapidly approve software updates.

      Hinweis

      Weitere Informationen finden Sie im Abschnitt "Automatisches genehmigen Sie Updates für die Installation" in der Genehmigen von Updates.For more information, see the "Automatically Approve Updates for Installation" section in the Approving Updates guidance.

  2. Bereitstellen der Admin-OE-Frameworks zum Hosten der PAWsDeploy the Admin OU Framework to host the PAWs

    1. Laden Sie die PAW-Skriptbibliothek aus TechNet GalleryDownload the PAW script library from TechNet Gallery

      Hinweis

      Herunterladen Sie aller Dateien und speichern Sie sie in das Verzeichnis, und führen Sie sie in der unten angegebenen Reihenfolge.Download all of the files and save them to the same directory, and run them in the order specified below. Create-PAWGroups hängt vom Create-PAWOUs OU-Struktur, und Set-PAWOUDelegation auf die Gruppen von Create-PAWGroups erstellt.Create-PAWGroups depends on the OU structure created by Create-PAWOUs, and Set-PAWOUDelegation depends on the groups created by Create-PAWGroups. Ändern Sie die Skripts oder die Datei durch Trennzeichen getrennte (CSV) nicht.Do not modify any of the scripts or the comma-separated value (CSV) file.

    2. Führen Sie das Create-PAWOUs. ps1-Skript.Run the Create-PAWOUs.ps1 script. Dieses Skript wird die neue Organisationseinheit (OU)-Struktur in Active Directory erstellen und in den neuen Organisationseinheiten nach Bedarf die GPO-Vererbung blockieren.This script will create the new organizational unit (OU) structure in Active Directory, and block GPO inheritance on the new OUs as appropriate.

    3. Führen Sie das Create-PAWGroups. ps1-Skript.Run the Create-PAWGroups.ps1 script. Dieses Skript erstellt die neuen globalen Sicherheitsgruppen in den entsprechenden Organisationseinheiten.This script will create the new global security groups in the appropriate OUs.

      Hinweis

      Während dieses Skript die neuen Sicherheitsgruppen erstellen, wird es ihnen nicht automatisch aufgefüllt.While this script will create the new security groups, it will not populate them automatically.

    4. Führen Sie das Set-PAWOUDelegation. ps1-Skript.Run the Set-PAWOUDelegation.ps1 script. Mit diesem Skript werden die neuen Organisationseinheiten zu den entsprechenden Gruppen Berechtigungen erteilen.This script will assign permissions to the new OUs to the appropriate groups.

  3. Ebene-0-Konten der Admin\Tier 0\Accounts Organisationseinheit verschieben.Move Tier 0 accounts to the Admin\Tier 0\Accounts OU. Verschieben Sie jedes Konto, das Mitglied der Domänen-Admins, Organisations-Admins ist, oder der Ebene 0 entsprechende Gruppen (einschließlich geschachtelten Mitgliedschaften) in diese OE.Move each account that is a member of the Domain Admin, Enterprise Admin, or Tier 0 equivalent groups (including nested membership) to this OU. Wenn Ihre Organisation eigene Gruppen verfügt, die diesen Gruppen hinzugefügt werden, sollten Sie diese mit der Admin\Tier 0\Groups Organisationseinheit verschieben.If your organization has your own groups that are added to these groups, you should move these to the Admin\Tier 0\Groups OU.

    Hinweis

    Weitere Informationen auf dem Gruppen der Ebene 0 sind, finden Sie unter "Äquivalenz zur Ebene-0" in Schützen des privilegierten Zugriffs – Referenzmaterial.For more information on which groups are Tier 0, see "Tier 0 Equivalency" in Securing Privileged Access Reference Material.

  4. Hinzufügen der geeigneten Mitglieder zu den jeweiligen GruppenAdd the appropriate members to the relevant groups

    1. PAW-Benutzer : Fügen Sie die Administratoren der Ebene 0 mit der Domäne oder Organisations-Admins Benutzergruppen, die Sie in Schritt1 von Phase 1 identifiziert.PAW Users - Add the Tier 0 administrators with Domain or Enterprise Admin groups that you identified in Step 1 of Phase 1.

    2. PAW Maintenance – fügen Sie mindestens ein Konto, das für die PAW-Wartung verwendet wird, und Behandeln von Problemen.PAW Maintenance - Add at least one account that will be used for PAW maintenance and troubleshooting tasks. Die PAW Maintenance-Konten werden nur selten verwendet werden.The PAW Maintenance Account(s) will be used only rarely.

      Hinweis

      Fügen Sie das Benutzerkonto oder die Gruppe nicht sowohl "PAW Users" und "PAW Maintenance.Do not add the same user account or group to both PAW Users and PAW Maintenance. Das PAW-Sicherheitsmodell basiert teilweise auf der Annahme, dass die PAW-Benutzerkonto Rechte für die verwalteten Systeme oder über die PAW selbst, aber nicht beides privilegierten hat.The PAW security model is based partly on the assumption that the PAW user account has privileged rights on managed systems or over the PAW itself, but not both.

      • Dies ist wichtig für die Entwicklung sorgfältiger Verwaltungsmethoden und -Gewohnheiten in Phase 1.This is important for building good administrative practices and habits in Phase 1.
      • Dies ist entscheidend für Phase 2 und darüber hinaus Ausweitung von rechten, wenn PAWs werden zu verhindern.This is critically important for Phase 2 and beyond to prevent escalation of privilege through PAW as PAWs being to span Tiers.

      Im Idealfall keine Mitarbeiter Aufgaben auf mehreren Ebenen auf das Prinzip der Aufgabentrennung durchzusetzen zugewiesen sind, aber Microsoft ist sich bewusst, dass viele Organisationen können Personal (oder andere organisationsbezogene Anforderungen) begrenzt ist, die nicht für die Trennung von diesem vollständigen zulassen.Ideally, no personnel are assigned to duties at multiple tiers to enforce the principle of segregation of duties, but Microsoft recognizes that many organizations may have limited staff (or other organizational requirements) that don't allow for this full segregation. In diesen Fällen die gleichen Mitarbeiter können beide Rollen zugewiesen werden, verwenden jedoch nicht das gleiche Konto für diese Funktionen.In these cases, the same personnel may be assigned to both roles, but should not use the same account for these functions.

  5. Erstellen Sie Gruppenrichtlinienobjekt (GPO) "PAW-Konfiguration – Computer" und Verknüpfen mit der Organisationseinheit der Ebene 0 Geräte ("Devices" unter Tier 0\Admin).Create "PAW Configuration - Computer" group policy object (GPO) and link to the Tier 0 Devices OU ("Devices" under Tier 0\Admin). In diesem Abschnitterstellen Sie eine neue "PAW-Konfiguration – Computer" Gruppenrichtlinienobjekt, das bestimmte Schutzmaßnahmen für diese PAWs bereitstellt.In this section, you will create a new "PAW Configuration - Computer" GPO which provide specific protections for these PAWs.

    Hinweis

    Fügen Sie diese Einstellungen nicht der Standarddomänenrichtlinie hinzu.Do not add these settings to the Default Domain Policy. Auf diese Weise wirkt sich potenziell auf Vorgänge in der gesamten Active Directory-Umgebung.Doing so will potentially impact operations on your entire Active Directory environment. Konfigurieren Sie diese Einstellungen nur in den neu erstellten Gruppenrichtlinienobjekten, die hier beschriebenen, und wenden Sie sie nur auf die Organisationseinheit "PAW".Only configure these settings in the newly-created GPOs described here, and only apply them to the PAW OU.

    1. PAW-Wartungszugriff : Diese Einstellung legt die Mitgliedschaft in bestimmten privilegierten Gruppen auf den PAWs auf eine bestimmte Gruppe von Benutzern.PAW Maintenance Access - this setting will set the membership of specific privileged groups on the PAWs to a specific set of users. Wechseln Sie zu Computer computerkonfiguration\einstellungen\systemsteuerungseinstellungen\lokale Benutzer und Gruppen, und führen Sie die folgenden Schritteaus:Go to Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups and follow the steps below:

      1. Klicken Sie auf neu, und klicken Sie auf lokale GruppeClick New and click Local Group

      2. Wählen Sie die Update Aktion und wählen Sie "Administratoren (integriert)" (verwenden Sie nicht die Schaltfläche "Durchsuchen" zum Auswählen der Gruppe Administratoren).Select the Update action, and select "Administrators (built-in)" (do not use the Browse button to select the domain group Administrators).

      3. Wählen Sie die alle mitgliederbenutzer löschen und alle Mitgliedergruppen löschen KontrollkästchenSelect the Delete all member users and Delete all member groups check boxes

      4. PAW Maintenance (Pawmaint) und Administrator hinzufügen (in diesem Fall verwenden Sie nicht die Schaltfläche "Durchsuchen" zum Auswählen des Administrators).Add PAW Maintenance (pawmaint) and Administrator (again, do not use the Browse button to select Administrator).

        Hinweis

        Fügen Sie der Gruppe "PAW Users" nicht zur Mitgliederliste für die lokale Gruppe "Administratoren".Do not add the PAW Users group to the membership list for the local Administrators group. Um sicherzustellen, dass die PAW Benutzer versehentlich oder absichtlich die Sicherheitseinstellungen der PAW nicht ändern können, sollten sie nicht Mitglied der lokalen Administratorgruppe sein.To ensure that PAW Users cannot accidentally or deliberately modify the security settings of the PAW itself, they should not be members of the local Administrators groups.

        Weitere Informationen zur Verwendung von Voreinstellungen für Gruppenrichtlinien Gruppenmitgliedschaft ändern, finden Sie im TechNet-Artikel Konfigurieren eines Elements für lokale Gruppenrichtlinien.For more information on using Group Policy Preferences to modify group membership, please refer to the TechNet article Configure a Local Group Item.

    2. Beschränken Sie lokale Gruppenmitgliedschaft -mit dieser Einstellung wird sichergestellt, dass die Mitgliedschaft lokaler Administratorengruppen auf der Arbeitsstation immer leer ist.Restrict Local Group Membership - this setting will ensure that the membership of local admin groups on the workstation is always empty

      1. Wechseln Sie zu dem Computer computerkonfiguration\einstellungen\systemsteuerungseinstellungen\lokale Benutzer und Gruppen, und führen Sie die folgenden Schritteaus:Go to Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups and follow the steps below:

        1. Klicken Sie auf neu, und klicken Sie auf lokale GruppeClick New and click Local Group

        2. Wählen Sie die Update Aktion und wählen Sie "Sicherungs-Operatoren (integriert)" (verwenden Sie nicht die Schaltfläche "Durchsuchen", wählen Sie die Gruppe der Domäne Sicherungsoperatoren).Select the Update action, and select "Backup Operators (built-in)" (do not use the Browse button to select the domain group Backup Operators).

        3. Wählen Sie die alle mitgliederbenutzer löschen und alle Mitgliedergruppen löschen Kontrollkästchen.Select the Delete all member users and Delete all member groups check boxes.

        4. Fügen Sie keine Mitglieder der Gruppe.Do not add any members to the group. Klicken Sie einfach auf OK.Simply click OK. Gruppenrichtlinien werden durch Zuweisen einer leeren Liste, entfernen Sie alle Mitglieder und Sicherstellen einer leeren Mitgliedschaftsliste, die jedes Mal die Gruppenrichtlinien aktualisiert werden.By assigning an empty list, group policy will automatically remove all members and ensure a blank membership list each time group policy is refreshed.

      2. Führen Sie die oben genannten Schrittefür die folgenden zusätzlichen Gruppen:Complete the above steps for the following additional groups:

        • Kryptografische OperatorenCryptographic Operators

        • Hyper-V-AdministratorenHyper-V Administrators

        • Netzwerkkonfigurations-OperatorenNetwork Configuration Operators

        • Erfahrene BenutzerPower Users

        • Remote Desktop UsersRemote Desktop Users

        • ReplikatorenReplicators

      3. PAW Logon Restrictions: wird diese Einstellung die Konten einschränken, die bei der PAW anmelden können.PAW Logon Restrictions - this setting will limit the accounts which can log onto the PAW. Gehen Sie folgendermaßen vor, um diese Einstellung zu konfigurieren:Follow the steps below to configure this setting:

        1. Wechseln Sie lokal auf dem Computer Computerkonfiguration\Richtlinien\Windows Settings\Security Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Lokal anmelden.Go to Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on locally.

        2. Wählen Sie diese Richtlinieneinstellungen definieren, und fügen Sie "PAW Users" und Administratoren (in diesem Fall verwenden Sie nicht die Schaltfläche "Durchsuchen" Administratoren auswählen).Select Define these policy settings and add "PAW Users" and Administrators (again, do not use the Browse button to select Administrators).

      4. Eingehenden Netzwerkdatenverkehr blockieren -mit dieser Einstellung wird sichergestellt, dass kein unangeforderter eingehender Netzwerkdatenverkehr zur PAW zugelassen wird.Block Inbound Network Traffic - This setting will ensure that no unsolicited inbound network traffic is allowed to the PAW. Gehen Sie folgendermaßen vor, um diese Einstellung zu konfigurieren:Follow the steps below to configure this setting:

        1. Wechseln Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit\windows-Firewall mit erweiterter Sicherheit, und führen Sie die folgenden Schritteaus:Go to Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security and follow the steps below:

          1. Klicken Sie mit der rechten Maustaste auf die Windows-Firewall mit erweiterter Sicherheit, und wählen Sie Richtlinie importieren.Right click on Windows Firewall with Advanced Security and select Import policy.

          2. Klicken Sie auf Ja annehmen, dass dadurch alle vorhandenen Firewallrichtlinien überschrieben werden.Click Yes to accept that this will overwrite any existing firewall policies.

          3. Navigieren Sie zu PAWFirewall.wfw, und wählen Sie öffnen.Browse to PAWFirewall.wfw and select Open.

          4. Klicken Sie auf OK.Click OK.

            Hinweis

            Sie können Adressen oder Subnetzen die PAW mit unerwünschten Datenverkehr an diesem Punkt (z.B. Sicherheitsüberprüfungs- oder Verwaltungssoftware Sicherheitssoftware. erreichen müssen hinzufügenYou may add addresses or subnets which must reach the PAW with unsolicited traffic at this point (e.g. security scanning or management software. Die Einstellungen in der WFW-Datei aktivieren die Firewall im Modus "Blockieren (Standard)", für alle Firewallprofile, deaktivieren die regelzusammenführung und aktivieren die Protokollierung sowohl für gelöschte als auch für erfolgreiche Pakete.The settings in the WFW file will enable the firewall in "Block - Default" mode for all firewall profiles, turn off rule merging and enable logging of both dropped and successful packets. Diese Einstellungen blockieren unangeforderten Datenverkehr und dennoch bidirektionale Kommunikation in Verbindungen, die von der PAW initiiert, verhindern, dass Benutzer mit lokalem Administratorzugriff lokale Firewallregeln, die die GPO-Einstellungen überschreiben würden, und stellen Sie sicher, dass Datenverkehr zur und aus der PAW protokolliert wird erstellen.These settings will block unsolicitied traffic while still allowing bidirectional communication on connections initiated from the PAW, prevent users with local administrative access from creating local firewall rules that would override the GPO settings and ensure that traffic in and out of the PAW is logged. Durch Öffnen dieser Firewall wird die Angriffsfläche für die PAW erweitern und Sicherheitsrisiken erhöhen. Bevor Sie Adressen hinzufügen, finden Sie in AbschnittVerwaltung und Betrieb einer PAW in diesem Leitfaden.Opening up this firewall will expand the attack surface for the PAW and increase security risk. Before adding any addresses, consult the Managing and Operating PAW section in this guidance.

      5. Konfigurieren von Windows Update für WSUS -führen Sie die folgenden Schritteaus, um die Einstellungen zum Konfigurieren von Windows Update für die PAWs zu ändern:Configure Windows Update for WSUS - follow the steps below to change the settings to configure Windows Update for the PAWs:

        1. Wechseln Sie zu Computer Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows-Updates, und führen Sie die folgenden Schritteaus:Go to Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Updates and follow the steps below:

          1. Aktivieren der Richtlinie automatische Updates konfigurieren.Enable the Configure Automatic Updates policy.

          2. Wählen Sie Option 4 – Autom. herunterladen und laut Zeitplan installieren.Select option 4 - Auto download and schedule the install.

          3. Ändern Sie die Option geplanter Installationstag auf 0 – täglich und die Option Geplante Installationszeit nach Belieben Organisationseinheit.Change the option Scheduled install day to 0 - Every Day and the option Scheduled install time to your organizational preference.

          4. Aktivieren Sie die Option internen Pfad für den Microsoft Updatedienst angeben Richtlinie, und geben Sie in beiden Optionen die URL des ESAE WSUS-Servers.Enable option Specify intranet Microsoft update service location policy, and specify in both options the URL of the ESAE WSUS server.

      6. Verknüpfen Sie die "PAW-Konfiguration – Computer" GPO wie folgt:Link the "PAW Configuration - Computer" GPO as follows:

        RichtliniePolicy SpeicherortLink Location
        PAW-Konfiguration – ComputerPAW Configuration - Computer Admin\Tier 0\DevicesAdmin\Tier 0\Devices
  6. Erstellen Sie Gruppenrichtlinienobjekt (GPO) "PAW-Konfiguration – Benutzer" und Verknüpfen mit der Organisationseinheit für Ebene-0-Konten ("Konten" unter Tier 0\Admin).Create "PAW Configuration - User" group policy object (GPO) and link to the Tier 0 Accounts OU ("Accounts" under Tier 0\Admin). In diesem Abschnitterstellen Sie eine neue "PAW-Konfiguration – Benutzer" Gruppenrichtlinienobjekt, das bestimmte Schutzmaßnahmen für diese PAWs bereitstellt.In this section, you will create a new "PAW Configuration - User" GPO which provide specific protections for these PAWs.

    Hinweis

    Fügen Sie diese Einstellungen nicht der Standarddomänenrichtlinie hinzuDo not add these settings to the Default Domain Policy

    1. Internetbrowsen blockieren - Internetbrowsen, dadurch wird eine Proxyadresse einer Loopbackadresse (127.0.0.1 festgelegt).Block internet browsing - To deter inadvertent internet browsing, this will set a proxy address of a loopback address (127.0.0.1).

      1. Wechseln Sie zu Benutzer Configuration\Preferences\Windows Settings\Registry.Go to User Configuration\Preferences\Windows Settings\Registry. Maustaste auf die Registrierung, und wählen Sie neu > Registrierungselement und konfigurieren Sie die folgenden Einstellungen:Right-click Registry, select New > Registry Item and configure the following settings:

        1. Aktion: ErsetzenAction: Replace

        2. Struktur: HKEY_CURRENT_USERHive: HKEY_CURRENT_USER

        3. Schlüsselpfad: Software\Microsoft\Windows\CurrentVersion\Internet SettingsKey Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings

        4. Wertname: ProxyEnableValue name: ProxyEnable

          Hinweis

          Wählen Sie das standardmäßig links neben dem Namen der Wert nicht.Do not select the Default box to the left of Value name.

        5. Werttyp: REG_DWORDValue type: REG_DWORD

        6. Wertdaten: 1Value data: 1

          1. ein.a. Klicken Sie auf der Registerkarte Allgemein, und wählen Sie dieses Element entfernen, wenn es nicht mehr angewendet wird.Click the Common tab and select Remove this item when it is no longer applied.

          2. Wählen Sie auf der Registerkarte Allgemein Zielgruppenadressierung auf Elementebene, und klicken Sie auf Zielgruppenadressierung.On the Common tab select Item level targeting and click Targeting.

          3. Klicken Sie auf neues Element, und wählen Sie Sicherheitsgruppe.Click New Item and select Security group.

          4. Wählen Sie die Schaltfläche "..." und suchen Sie nach der Gruppe "PAW Users".Select the "..." button and browse for the PAW Users group.

          5. Klicken Sie auf neues Element, und wählen Sie Sicherheitsgruppe.Click New Item and select Security group.

          6. Wählen Sie die Schaltfläche "...", und suchen Sie nach der Clouddienstadministratoren Gruppe.Select the "..." button and browse for the Cloud Services Admins group.

          7. Klicken Sie auf die Clouddienstadministratoren Element, und klicken Sie auf Elementoptionen.Click on the Cloud Services Admins item and click Item Options.

          8. Wählen Sie ist nicht.Select Is not.

          9. Klicken Sie auf OK im Fenster vorgesehen sind.Click OK on the targeting window.

        7. Klicken Sie auf OK um die ProxyServer-Gruppenrichtlinieneinstellung abzuschließen.Click OK to complete the ProxyServer group policy setting

      2. Wechseln Sie zu Benutzer Configuration\Preferences\Windows Settings\Registry.Go to User Configuration\Preferences\Windows Settings\Registry. Maustaste auf die Registrierung, und wählen Sie neu > Registrierungselement und konfigurieren Sie die folgenden Einstellungen:Right-click Registry, select New > Registry Item and configure the following settings:

        • Aktion: ErsetzenAction: Replace

        • Struktur: HKEY_CURRENT_USERHive: HKEY_CURRENT_USER

        • Schlüsselpfad: Software\Microsoft\Windows\CurrentVersion\Internet SettingsKey Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings

        • Wertname: ProxyServerValue name: ProxyServer

          Hinweis

          Wählen Sie das standardmäßig links neben dem Namen der Wert nicht.Do not select the Default box to the left of Value name.

        • Werttyp: REG_SZValue type: REG_SZ

        • Wertdaten: 127.0.0.1: 80Value data: 127.0.0.1:80

          1. Klicken Sie auf die allgemeine Registerkarte, und wählen Sie dieses Element entfernen, wenn es nicht mehr angewendet wird.Click the Common tab and select Remove this item when it is no longer applied.

          2. Auf der allgemeine wählen Registerkarte Zielgruppenadressierung auf Elementebene, und klicken Sie auf Zielgruppenadressierung.On the Common tab select Item level targeting and click Targeting.

          3. Klicken Sie auf neues Element und select-Sicherheitsgruppe.Click New Item and select security group.

          4. Wählen Sie die Schaltfläche "...", und fügen Sie der Gruppe "PAW Users" hinzu.Select the "..." button and add the PAW Users group.

          5. Klicken Sie auf neues Element und select-Sicherheitsgruppe.Click New Item and select security group.

          6. Wählen Sie die Schaltfläche "...", und suchen Sie nach der Clouddienstadministratoren Gruppe.Select the "..." button and browse for the Cloud Services Admins group.

          7. Klicken Sie auf die Clouddienstadministratoren Element, und klicken Sie auf Elementoptionen.Click on the Cloud Services Admins item and click Item Options.

          8. Wählen Sie ist nicht.Select Is not.

          9. Klicken Sie auf OK im Fenster vorgesehen sind.Click OK on the targeting window.

      3. Klicken Sie auf OK um die ProxyServer-Gruppenrichtlinieneinstellung abzuschließen.Click OK to complete the ProxyServer group policy setting,

    2. Rufen Sie Benutzer Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Internet Explorer, und aktivieren Sie die unten aufgeführten Optionen.Go to User Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer, and enable the options below. Diese Einstellung werden verhindert, dass die Administratoren die Proxyeinstellungen manuell überschreiben.These settings will prevent the administrators from manually overriding the proxy settings.

      1. Aktivieren der deaktivieren, ändern die automatische Konfiguration Einstellungen.Enable the Disable changing Automatic Configuration settings.

      2. Aktivieren der Änderung der Proxyeinstellungen verhindern.Enable the Prevent changing proxy settings.

  7. Beschränken Sie Administratoren Hosts auf niedrigerer Ebene anmelden.Restrict Administrators from logging onto lower tier hosts. In diesem Abschnittwird Gruppenrichtlinien, um zu verhindern, dass Administratorkonten mit hohen Berechtigungen Protokollierung Hosts auf niedrigerer Ebene konfiguriert.In this section, we will configure group policies to prevent privileged administrative accounts from logging onto lower tier hosts.

    1. Erstellen Sie das neue Restrict Workstation Logon GPO - diese Einstellung verhindert, dass auf Ebene 0 und Ebene 1 Administratorkonten standardarbeitsstationen anmelden.Create the new Restrict Workstation Logon GPO - this setting will restrict Tier 0 and Tier 1 administrator accounts from logging onto standard workstations. Dieses Gruppenrichtlinienobjekt mit der Organisationseinheit "Arbeitsstationen" auf oberster Ebene verknüpft werden soll, und weisen folgende Einstellungen:This GPO should be linked to the "Workstations" top-level OU and have the following settings:

      • (i) Wählen Sie im Computer Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte benutzerrechten\anmelden als Batchauftrag, diese Richtlinieneinstellungen definieren und fügen Sie die Gruppen auf Ebene 0 und Ebene 1 hinzu:(i) In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a batch job, select Define these policy settings and add the Tier 0 and Tier 1 groups:

        Gruppen Einstellungen hinzu:Groups to add to policy settings:

        Organisations-AdminsEnterprise Admins

        Domänen-AdminsDomain Admins

        Schema-AdminsSchema Admins

        "DOMAIN\Administrators"DOMAIN\Administrators

        Konten-OperatorenAccount Operators

        Sicherungs-OperatorenBackup Operators

        Druck-OperatorenPrint Operators

        Server-OperatorenServer Operators

        DomänencontrollerDomain Controllers

        Read-Only DomänencontrollerRead-Only Domain Controllers

        Richtlinien-Ersteller-BesitzerGroup Policy Creators Owners

        Kryptografische OperatorenCryptographic Operators

        Hinweis

        Hinweis: Integrierten Gruppen auf Ebene 0 finden Sie unter Äquivalenz zur Ebene 0 Weitere Detail.Note: Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

        Andere delegierte GruppenOther Delegated Groups

        Hinweis

        Hinweis: Erstellten benutzerdefinierten Gruppen mit effektiven Zugriff auf Ebene 0 finden Sie unter Äquivalenz zur Ebene 0 Weitere Detail.Note: Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

        Administratoren der Ebene 1Tier 1 Admins

        Hinweis

        Hinweis: Diese Gruppe wurde zuvor in Phase 1 erstellt.Note: This Group was created earlier in Phase 1

      • (Ii) Wählen Sie im Computer Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte benutzerrechten\anmelden als Dienst, diese Richtlinieneinstellungen definieren und fügen Sie die Gruppen auf Ebene 0 und Ebene 1 hinzu:(ii) In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a service, select Define these policy settings and add the Tier 0 and Tier 1 groups:

        Gruppen Einstellungen hinzu:Groups to add to policy settings:

        Organisations-AdminsEnterprise Admins

        Domänen-AdminsDomain Admins

        Schema-AdminsSchema Admins

        "DOMAIN\Administrators"DOMAIN\Administrators

        Konten-OperatorenAccount Operators

        Sicherungs-OperatorenBackup Operators

        Druck-OperatorenPrint Operators

        Server-OperatorenServer Operators

        DomänencontrollerDomain Controllers

        Read-Only DomänencontrollerRead-Only Domain Controllers

        Richtlinien-Ersteller-BesitzerGroup Policy Creators Owners

        Kryptografische OperatorenCryptographic Operators

        Hinweis

        Hinweis: Integrierten Gruppen auf Ebene 0 finden Sie unter Äquivalenz zur Ebene 0 Weitere Detail.Note: Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

        Andere delegierte GruppenOther Delegated Groups

        Hinweis

        Hinweis: Erstellten benutzerdefinierten Gruppen mit effektiven Zugriff auf Ebene 0 finden Sie unter Äquivalenz zur Ebene 0 Weitere Detail.Note: Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

        Administratoren auf Ebene 1Teir 1 Admins

        Hinweis

        Hinweis: Diese Gruppe wurde zuvor in Phase 1 erstellt.Note: This Group was created earlier in Phase 1

    2. Erstellen Sie das neue Server einschränken GPO - diese Einstellung verhindert, dass Administratorkonten der Ebene 0 Anmelden an Server der Ebene 1.Create the new Restrict Server Logon GPO - this setting will restrict Tier 0 administrator accounts from logging onto Tier 1 servers. Dieses Gruppenrichtlinienobjekt mit der Organisationseinheit "Server der Ebene 1" auf oberster Ebene verknüpft werden soll, und weisen folgende Einstellungen:This GPO should be linked to the "Tier 1 Servers" top-level OU and have the following settings:

      • (i) Wählen Sie im Computer Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte benutzerrechten\anmelden als Batchauftrag, diese Richtlinieneinstellungen definieren und fügen Sie die Gruppen auf Ebene 0 hinzu:(i) In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a batch job, select Define these policy settings and add the Tier 0 groups:

        Gruppen Einstellungen hinzu:Groups to add to policy settings:

        Organisations-AdminsEnterprise Admins

        Domänen-AdminsDomain Admins

        Schema-AdminsSchema Admins

        "DOMAIN\Administrators"DOMAIN\Administrators

        Konten-OperatorenAccount Operators

        Sicherungs-OperatorenBackup Operators

        Druck-OperatorenPrint Operators

        Server-OperatorenServer Operators

        DomänencontrollerDomain Controllers

        Read-Only DomänencontrollerRead-Only Domain Controllers

        Richtlinien-Ersteller-BesitzerGroup Policy Creators Owners

        Kryptografische OperatorenCryptographic Operators

        Hinweis

        Hinweis: Integrierten Gruppen auf Ebene 0 finden Sie unter Äquivalenz zur Ebene 0 Weitere Detail.Note: Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

        Andere delegierte GruppenOther Delegated Groups

        Hinweis

        Hinweis: Erstellten benutzerdefinierten Gruppen mit effektiven Zugriff auf Ebene 0 finden Sie unter Äquivalenz zur Ebene 0 Weitere Detail.Note: Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

      • (Ii) Wählen Sie im Computer Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte benutzerrechten\anmelden als Dienst, diese Richtlinieneinstellungen definieren und fügen Sie die Gruppen auf Ebene 0 hinzu:(ii) In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a service, select Define these policy settings and add the Tier 0 groups:

        Gruppen Einstellungen hinzu:Groups to add to policy settings:

        Organisations-AdminsEnterprise Admins

        Domänen-AdminsDomain Admins

        Schema-AdminsSchema Admins

        "DOMAIN\Administrators"DOMAIN\Administrators

        Konten-OperatorenAccount Operators

        Sicherungs-OperatorenBackup Operators

        Druck-OperatorenPrint Operators

        Server-OperatorenServer Operators

        DomänencontrollerDomain Controllers

        Read-Only DomänencontrollerRead-Only Domain Controllers

        Richtlinien-Ersteller-BesitzerGroup Policy Creators Owners

        Kryptografische OperatorenCryptographic Operators

        Hinweis

        Hinweis: Integrierten Gruppen auf Ebene 0 finden Sie unter Äquivalenz zur Ebene 0 Weitere Detail.Note: Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

        Andere delegierte GruppenOther Delegated Groups

        Hinweis

        Hinweis: Erstellten benutzerdefinierten Gruppen mit effektiven Zugriff auf Ebene 0 finden Sie unter Äquivalenz zur Ebene 0 Weitere Detail.Note: Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

      • (Iii) Wählen Sie lokal, im Computer Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte benutzerrechten\anmelden diese Richtlinieneinstellungen definieren und fügen Sie die Gruppen auf Ebene 0 hinzu:(iii) In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on locally, select Define these policy settings and add the Tier 0 groups:

        Gruppen Einstellungen hinzu:Groups to add to policy settings:

        Organisations-AdminsEnterprise Admins

        Domänen-AdminsDomain Admins

        Schema-AdminsSchema Admins

        Konten-OperatorenAccount Operators

        Sicherungs-OperatorenBackup Operators

        Druck-OperatorenPrint Operators

        Server-OperatorenServer Operators

        DomänencontrollerDomain Controllers

        Read-Only DomänencontrollerRead-Only Domain Controllers

        Richtlinien-Ersteller-BesitzerGroup Policy Creators Owners

        Kryptografische OperatorenCryptographic Operators

        Hinweis

        Hinweis: Integrierten Gruppen auf Ebene 0 finden Sie unter Äquivalenz zur Ebene 0 Weitere Detail.Note: Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

        Andere delegierte GruppenOther Delegated Groups

        Hinweis

        Hinweis: Erstellten benutzerdefinierten Gruppen mit effektiven Zugriff auf Ebene 0 finden Sie unter Äquivalenz zur Ebene 0 Weitere Detail.Note: Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

  8. Bereitstellen der PAWsDeploy your PAW(s)

    Hinweis

    Stellen Sie sicher, dass die PAW über das Netzwerk während des Buildprozesses des Betriebssystems getrennt ist.Ensure that the PAW is disconnected from the network during the operating system build process.

    1. Installieren Sie Windows10 mithilfe der Installationsmedien aus vertrauenswürdiger Quelle, die Sie zuvor erhalten haben.Install Windows 10 using the clean source installation media that you obtained earlier.

      Hinweis

      Sie können Microsoft Deployment Toolkit (MDT) oder ein anderes Bild automatisierte Bereitstellungssystem verwenden, um PAW-Bereitstellung zu automatisieren, jedoch müssen Sie sicherstellen, dass der Buildprozess so vertrauenswürdig ist wie die PAW ist.You may use Microsoft Deployment Toolkit (MDT) or another automated image deployment system to automate PAW deployment, but you must ensure the build process is as trustworthy as the PAW. Angreifer suchen sich gezielt Unternehmensimages und -Bereitstellungssysteme (z.B. ISOs, Bereitstellungspakete usw.) als persistenzmechanismus bereits vorhandenen oder Images sollte nicht verwendet werden.Adversaries specifically seek out corporate images and deployment systems (including ISOs, deployment packages, etc.) as a persistence mechanism so preexisting deployment systems or images should not be used.

      Wenn Sie die Bereitstellung der PAW automatisieren, müssen Sie folgende Schritteausführen:If you automate deployment of the PAW, you must:

      • Erstellen Sie das System mithilfe eines Installationsmediums überprüft mithilfe der Anleitungen im vertrauenswürdige Quelle für Installationsmedien.Build the system using installation media validated using the guidance in Clean Source for installation media.
      • Stellen Sie sicher, dass das System für die automatisierte Bereitstellung über das Netzwerk während des Buildprozesses des Betriebssystems getrennt ist.Ensure that the automated deployment system is disconnected from the network during the operating system build process.
    2. Legen Sie ein eindeutiges komplexes Kennwort für das lokale Administratorkonto an.Set a unique complex password for the local Administrator account. Verwenden Sie ein Kennwort, das für ein anderes Konto in der Umgebung verwendet wurde.Do not use a password that has been used for any other account in the environment.

      Hinweis

      Microsoft empfiehlt die Verwendung lokalen Administrator Kennwort Solution (LAPS) das lokale Administratorkennwort für alle Arbeitsstationen einschließlich PAWs zu verwalten.Microsoft recommends using Local Administrator Password Solution (LAPS) to manage the local Administrator password for all workstations, including PAWs. Wenn Sie LAPS verwenden, stellen Sie sicher, dass Sie nur der Gruppe "PAW Maintenance" das Recht zum Lesen von über LAPS verwalteten Kennwörter für die PAWs erteilen.If you use LAPS, ensure that you only grant the PAW Maintenance group the right to read LAPS-managed passwords for the PAWs.

    3. Installieren Sie Remote Server Administration Tools für Windows10 mithilfe der Installationsmedien aus vertrauenswürdiger Quelle.Install Remote Server Administration Tools for Windows 10 using the clean source installation media.

    4. Installieren Sie Enhanced Mitigation Experience Toolkit (EMET) mithilfe der Installationsmedien aus vertrauenswürdiger Quelle.Install Enhanced Mitigation Experience Toolkit (EMET) using the clean source installation media.

      Hinweis

      Bitte beachten Sie, dass zum Zeitpunkt der letzten Aktualisierung dieses Leitfadens befand sich EMET 5.5 noch in der beta-Tests wurde.Please note that, at the time of the last update of this guidance, EMET 5.5 was still in beta testing. Da dies die erste Version von Windows10 unterstützt wird, wird sie hier trotzdem trotz der Beta-Zustand.Because this is the first version supported on Windows 10, it is included here despite its beta state. Wenn die Installation von Betasoftware auf der PAW Ihren risikorichtlinien zuwiderläuft, überspringen Sie diesen Schrittfür den Moment.If installing beta software on the PAW exceeds your risk tolerance, you may skip this step for now.

    5. Verbinden Sie die PAW mit dem Netzwerk.Connect the PAW to the network. Stellen Sie sicher, dass die PAW auf mindestens einen Domänencontroller (DC) eine Verbindung herstellen kann.Ensure that the PAW can connect to at least one Domain Controller (DC).

    6. Verwenden ein Konto, das Mitglied der Gruppe "PAW Maintenance" ist, führen Sie den folgenden PowerShell-Befehl von der neu erstellten PAW das Beitreten zur Domäne in der entsprechenden Organisationseinheit:Using an account that is a member of the PAW Maintenance group, run the following PowerShell command from the newly-created PAW to join it to the domain in the appropriate OU:

      Add-Computer -DomainName Fabrikam -OUPath "OU=Devices,OU=Tier 0,OU=Admin,DC=fabrikam,DC=com"

      Ersetzen Sie die Verweise auf Fabrikam mit Ihrem Domänennamen entsprechend den Anforderungen.Replace the references to Fabrikam with your domain name, as appropriate. Wenn Ihr Domänenname mehrere Ebenen (z.B. child.fabrikam.com) erweitert, fügen Sie die zusätzlichen Namen mit dem "DC =" Bezeichner in der Reihenfolge, in dem sie in der Domäne vollständig qualifizierten Domänennamen angezeigt werden.If your domain name extends to multiple levels (e.g. child.fabrikam.com), add the additional names with the "DC=" identifier in the order in which they appear in the domain's fully-qualified domain name.

      Hinweis

      Wenn Sie bereitgestellt haben eine Administrative ESAE-Gesamtstruktur (für Administratoren auf Ebene 0 in Phase 1) oder eine Microsoft Identity Manager (MIM) privilegierte zugriffsverwaltung (PAM) (für Ebene 1 und 2 Administratoren in Phase 2), fügen Sie in diesem Fall die PAW zur Domäne in dieser Umgebung anstatt zur Produktionsdomäne.If you have deployed an ESAE Administrative Forest (for Tier 0 admins in Phase 1) or a Microsoft Identity Manager (MIM) privileged access management (PAM) (for Tier 1 and 2 admins in Phase 2), you would join the PAW to the domain in that environment here instead of the production domain.

    7. Wenden Sie alle wichtigen Windows-Updates vor der Installation andere Software (einschließlich Verwaltungstools, Agents usw..).Apply all critical and important Windows Updates before installing any other software (including administrative tools, agents, etc.).

    8. Anwendung der Gruppenrichtlinie zu erzwingen.Force the Group Policy application.

      1. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und geben Sie den folgenden Befehl aus:Open an elevated command prompt and enter the following command:

        Gpupdate /force /sync

      2. Starten Sie den Computer neuRestart the computer

    9. (Optional) **Installieren Sie weitere erforderliche Tools für Active Directory-Administratoren.(Optional)** Install additional required tools for Active Directory Admins. Installieren Sie weitere Tools oder Skripts, die zum Ausführen von Aufgaben erforderlich.Install any other tools or scripts required to perform job duties. Sicherstellen, dass das Risiko einer Offenlegung von Anmeldeinformationen auf den Zielcomputern mit einem beliebigen Tool einhergeht, bevor auf einer paw installieren.Ensure to evaluate the risk of credential exposure on the target computers with any tool before adding it to a PAW. Zugriff auf dieser Seite erhalten Sie weitere Informationen zur Bewertung von Verwaltungstools und Verbindungsmethoden Risikos für Anmeldeinformationen durch.Access this page to obtain more information on evaluating administrative tools and connection methods for credential exposure risk. Sicherstellen, dass alle Installationsmedien die in erhalten vertrauenswürdige Quelle für Installationsmedien.Ensure to obtain all installation media using the guidance in Clean Source for installation media.

      Hinweis

      Verwendung eines sprungbrettservers als zentralen Speicherort für diese Tools kann die Komplexität reduzieren, auch wenn es als eine Sicherheitsgrenze dienen nicht.Using a jump server for a central location for these tools can reduce complexity, even if it doesn't serve as a security boundary.

    10. (Optional) **Erforderlichen RAS-Software herunterladen und installieren.(Optional)** Download and install required remote access software. Wenn Administratoren die PAW Remote für die Verwaltung verwenden, installieren Sie die Remotezugriffssoftware Sicherheitsinformationen vom Hersteller RAS-Lösung.If administrators will be using the PAW remotely for administration, install the remote access software using security guidance from your remote access solution vendor. Sicherstellen, dass um alle Installationsmedien die in der vertrauenswürdigen Quelle für Installationsmedien zu erhalten.Ensure to obtain all installation media using the guidance in Clean Source for installation media.

      Hinweis

      Sorgfältig alle Risiken bei der Remote-Zugriff über eine paw EINHERGEHEN.Carefully consider all of the risks involved in allowing remote access via a PAW. Während eine mobile PAW, viele wichtige Szenarien ermöglicht, einschließlich arbeiten von zu Hause, RAS-Software kann potenziell anfällig für Angriffe sein, und Sie werden verwendet, um eine PAW gefährden.While a mobile PAW enables many important scenarios, including work from home, remote access software can potentially be vulnerable to attack and used to compromise a PAW.

    11. Überprüfen Sie die Integrität des PAW-Systems, indem Sie prüfen und zu bestätigen, dass alle entsprechenden Einstellungen mithilfe der folgenden Schrittesind:Validate the integrity of the PAW system by reviewing and confirming that all appropriate settings are in place using the steps below:

      1. Stellen Sie sicher, dass nur die PAW-spezifischen Gruppenrichtlinien auf die PAW angewendet werdenConfirm that only the PAW-specific group policies are applied to the PAW

        1. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und geben Sie den folgenden Befehl aus:Open an elevated command prompt and enter the following command:

          Gpresult /scope computer /r

        2. Überprüfen Sie die resultierende Liste, und stellen Sie sicher, dass die einzige Gruppe angezeigt werden diejenigen, die Sie soeben erstellt haben.Review the resulting list and ensure that the only group policies that appear are the ones you created above.

      2. Stellen Sie sicher, dass keine weiteren Benutzerkonten Mitglied von privilegierten Gruppen auf der PAW mithilfe der folgenden Schrittesind:Confirm that no additional user accounts are members of privileged groups on the PAW using the steps below:

        1. Öffnen lokale Benutzer und Gruppen bearbeiten (lusrmgr.msc) wählen Gruppen, und stellen Sie sicher, dass die einzigen Mitglieder der Gruppe der lokalen Administratoren das lokale Administratorkonto und die globale Sicherheitsgruppe PAW Maintenance sind.Open Edit Local Users and Groups (lusrmgr.msc), select Groups, and confirm that the only members of the local Administrators group are the local Administrator account and the PAW Maintenance global security group.

          Hinweis

          Die Gruppe "PAW Users" sollten nicht Mitglied der lokalen Gruppe Administratoren sein.The PAW Users group should not be a member of the local Administrators group. Die einzigen Mitglieder sollte das lokale Administratorkonto und die globale Sicherheitsgruppe PAW Maintenance (und PAW Users sollten nicht Mitglied dieser globalen Gruppe entweder).The only members should be the local Administrator account and the PAW Maintenance global security group (and PAW Users should not be a member of that global group either).

        2. Zudem lokale Benutzer und Gruppen bearbeiten, stellen Sie sicher, dass die folgenden Gruppen keine Mitglieder enthalten:Also using Edit Local Users and Groups, ensure that the following groups have no members:

          • Sicherungs-OperatorenBackup Operators

          • Kryptografische OperatorenCryptographic Operators

          • Hyper-V-AdministratorenHyper-V Administrators

          • Netzwerkkonfigurations-OperatorenNetwork Configuration Operators

          • Erfahrene BenutzerPower Users

          • Remote Desktop UsersRemote Desktop Users

          • ReplikatorenReplicators

    12. (Optional) **Wenn Ihre Organisation eine Sicherheitsinformations- und Ereignis-Management (SIEM)-Lösung verwendet, stellen Sie sicher, dass die PAW zum Weiterleiten von Ereignissen an das System über Windows Ereignis Ereignisweiterleitung konfiguriert oder anderweitig mit der Lösung registriert, damit die SIEM-Lösung aktiv Ereignisse und Informationen von der PAW empfängt.(Optional)** If your organization uses a security information and event management (SIEM) solution, ensure that the PAW is configured to forward events to the system using Windows Event Forwarding (WEF) or is otherwise registered with the solution so that the SIEM is actively receiving events and information from the PAW. Die Detail dieses Vorgangs variieren basierend auf Ihrer SIEM-Lösung.The details of this operation will vary based on your SIEM solution.

      Hinweis

      Wenn Ihre SIEM einen Agent, die als System oder ein lokales Administratorkonto auf den PAWs ausgeführt wird erfordert, stellen Sie sicher, dass die SIEM mit der gleichen Grad an vertrauen, als Domänencontroller und Identitätssysteme verwaltet werden.If your SIEM requires an agent which runs as system or a local administrative account on the PAWs, ensure that the SIEMs are managed with the same level of trust as your domain controllers and identity systems.

    13. (Optional) **Wenn Sie LAPS zur Verwaltung des Kennworts für das lokale Administratorkonto auf Ihrer PAW bereitstellen möchten, stellen Sie sicher, dass das Kennwort erfolgreich registriert ist.(Optional)** If you chose to deploy LAPS to manage the password for the local Administrator account on your PAW, verify that the password is registered successfully.

      • Öffnen Sie mit einem Konto mit Berechtigungen zum Lesen von über LAPS verwalteten Kennwörter Active Directory-Benutzer und -Computer (dsa.msc).Using an account with permissions to read LAPS-managed passwords, open Active Directory Users and Computers (dsa.msc). Stellen Sie sicher, dass erweiterte Funktionen aktiviert ist, und klicken Sie dann das entsprechende Computerobjekt Maustaste.Ensure that Advanced Features is enabled, and then right-click the appropriate computer object. Klicken Sie auf der Registerkarte Attribut-Editor, und stellen Sie sicher, dass der Wert für MsSVSadmPwd mit einem gültigen Kennwort aufgefüllt wird.Select the Attribute Editor tab and confirm that the value for msSVSadmPwd is populated with a valid password.

Phase 2: Erweitern des PAW auf alle AdministratorenPhase 2 - Extend PAW to All Administrators

Einsatzbereich: Alle Benutzer mit administrativen Rechten für unternehmenskritische Anwendungen und Abhängigkeiten.Scope: All users with administrative rights over mission-critical applications and dependencies. Dazu zählen u. a. mindestens Administratoren von Anwendungsservern, betrieblichen Stabilität und Sicherheit, die Überwachung von Lösungen, Virtualisierungslösungen, Speichersystemen und Netzwerkgeräten.This should include at least administrators of application servers, operational health and security monitoring solutions, virtualization solutions, storage systems, and network devices.

Hinweis

Die Anweisungen in dieser Phase wird davon ausgegangen, dass Phase 1 vollständig abgeschlossen wurde.The instructions in this phase assume that Phase 1 has been completed in its entirety. Phase 2 kann nicht gestartet werden, bis Sie alle Schrittein Phase 1 abgeschlossen haben.Do not begin Phase 2 until you have completed all of the steps in Phase 1.

Wenn Sie bestätigen, dass alle Schrittedurchgeführt wurden, führen Sie die folgenden Schrittezum Abschließen der Phase 2:Once you confirm that all steps were done, perform the steps below to complete Phase 2:

  1. (Empfohlen) **Aktivieren **RestrictedAdmin -Modus – aktivieren Sie dieses Feature auf Ihren vorhandenen Servern und Arbeitsstationen, und erzwingen Sie dann die Verwendung dieses Features.(Recommended) Enable RestrictedAdmin mode - Enable this feature on your existing servers and workstations, then enforce the use of this feature. Diese Funktion muss auf die Zielservern Windows Server2008 R2 ausgeführt werden oder höher und auf den Zielarbeitsstationen Windows7 oder höher ausgeführt werden.This feature will require the target servers to be running Windows Server 2008 R2 or later and target workstations to be running Windows 7 or later.

    1. Aktivieren Sie RestrictedAdmin Modus auf Ihren Servern und Arbeitsstationen mithilfe der Anweisungen in diesem verfügbaren Seite.Enable RestrictedAdmin mode on your servers and workstations by following the instructions available in this page.

      Hinweis

      Bevor Sie die Aktivierung dieser Funktion für den Internetzugang, sollten Sie das Risiko, dass Angreifer sich mit diesen Servern mit einem zuvor gestohlenen Kennworthash authentifizieren.Before enabling this feature for internet facing servers, you should consider the risk of adversaries being able to authenticate to these servers with a previously-stolen password hash.

    2. "RestrictedAdmin erforderlich – Computer" Gruppenrichtlinienobjekt (GPO) zu erstellen.Create "RestrictedAdmin Required - Computer" group policy object (GPO). In diesem Abschnitterstellt ein Gruppenrichtlinienobjekt die Verwendung erzwingt der /RestrictedAdmin für ausgehende Remotedesktopverbindungen, Schutz von Konten vor Diebstahl von Anmeldeinformationen auf den Zielsystemen wechselnThis section creates a GPO which enforces the use of the /RestrictedAdmin switch for outgoing Remote Desktop connections, protecting accounts from credential theft on the target systems

      • Wechseln Sie zu Computer Computerkonfiguration\Richtlinien\Administrative vorlagen\System\delegierung von Anmeldeinformationen\delegierung von Anmeldeinformationen an Remoteserver, und legen Sie auf aktiviert.Go to Computer Configuration\Policies\Administrative Templates\System\Credentials Delegation\Restrict delegation of credentials to remote servers and set to Enabled.
    3. Verknüpfen der RestrictedAdmin erforderlich – Computer mit der entsprechenden Ebene 1 und/oder Ebene-2-Geräte mithilfe der folgenden Optionen:Link the RestrictedAdmin Required - Computer to the appropriate Tier 1 and/or Tier 2 Devices by using the Policy options below:

      PAW-Konfiguration – ComputerPAW Configuration - Computer

      -> Speicherort für Verknüpfung: Admin\Tier 0\Devices (vorhanden)-> Link Location: Admin\Tier 0\Devices (Existing)

      PAW-Konfiguration – BenutzerPAW Configuration - User

      -> Speicherort für Verknüpfung: Admin\Tier 0\Accounts-> Link Location: Admin\Tier 0\Accounts

      RestrictedAdmin erforderlich – ComputerRestrictedAdmin Required - Computer

      -> Admin\Tier1\Devices oder -> Admin\Tier2\Devices (beide sind optional)->Admin\Tier1\Devices or -> Admin\Tier2\Devices (Both are optional)

      Hinweis

      Dies ist nicht für Systeme auf Ebene 0 erforderlich, da diese Systeme bereits Vollzugriff auf alle Assets in der Umgebung befinden.This is not necessary for Tier 0 systems as these systems are already in full control of all assets in the environment.

  2. Verschieben Sie Objekte der Ebene 1 in den entsprechenden Organisationseinheiten.Move Tier 1 Objects to the appropriate OUs.

    1. Verschieben Sie Gruppen auf Ebene 1, Admin\Tier 1\Groups Organisationseinheit.Move Tier 1 groups To the Admin\Tier 1\Groups OU. Suchen Sie alle Gruppen, die die folgenden administrativen Berechtigungen gewähren, und verschieben Sie sie in diese OE.Locate all groups that grant the following administrative rights and move them to this OU.

      • Lokaler Administrator auf mehreren ServernLocal administrator on more than one server

      • Administratorzugriff auf ClouddiensteAdministrative Access to cloud services

      • Administratorzugriff auf unternehmensanwendungenAdministrative Access to enterprise applications

    2. Ebene-1-Konten der Admin\Tier 1\Accounts Organisationseinheit zu verschieben.Move Tier 1 accounts to the Admin\Tier 1\Accounts OU. Verschieben Sie jedes Konto, ein Mitglied dieser Gruppen auf Ebene 1 (einschließlich geschachtelten Mitgliedschaften) in diese OE.Move each account that is a member of those Tier 1 groups (including nested membership) to this OU.

  3. Hinzufügen der geeigneten Mitglieder zu den jeweiligen GruppenAdd the appropriate members to the relevant groups

    • Tier 1 Admins -diese Gruppe enthält die Administratoren auf Ebene 1, die sich auf Ebene-2-Hosts von beschränkt wird.Tier 1 Admins - This group will contain the Tier 1 Admins that will be restricted from logging onto Tier 2 hosts. Fügen Sie all Ihre Verwaltungsgruppen auf Ebene 1, die über Administratorrechte für Server oder Internetdienste verfügen.Add all of your Tier 1 administrative groups that have administrative privileges over servers or internet services.

      Hinweis

      Wenn Administratoren Aufgaben zum Verwalten von Ressourcen auf mehreren Ebenen verfügen, müssen Sie jede Ebene ein separates Administratorkonto erstellen.If administrative personnel have duties to manage assets at multiple tiers, you will need to create a separate admin account per tier.

  4. Aktivieren Sie Credential Guard, um das Risiko des Diebstahls von Anmeldeinformationen zu reduzieren und wiederverwenden.Enable Credential Guard to reduce risk of credential theft and reuse. Credential Guard ist ein neues Feature von Windows10, die Zugriff auf Anmeldeinformationen einschränkt Methoden des Anmeldeinformationsdiebstahls (einschließlich Pass-the-Hash) zu verhindern.Credential Guard is a new feature of Windows 10 that restricts application access to credentials, preventing credential theft attacks (including Pass-the-Hash). Credential Guard ist für den Endbenutzer vollständig transparent und erfordert minimale Einrichtungszeit und Mühe.Credential Guard is completely transparent to the end user and requires minimal setup time and effort. Weitere Informationen zu Credential Guard einschließlich der Bereitstellungsschritte und hardwarevoraussetzungen finden Sie im Artikel Schützen von Domänenanmeldeinformationen mit Credential Guard.For further information on Credential Guard, including deployment steps and hardware requirements, please refer to the article, Protect domain credentials with Credential Guard.

    Hinweis

    Deviceguard muss aktiviert sein, um die Konfiguration und Verwendung von Credential Guard.Device Guard must be enabled in order to configure and use Credential Guard. Sie sind jedoch nicht erforderlich, um andere Device Guard-Schutzfunktionen konfigurieren, um Credential Guard verwenden.However, you are not required to configure any other Device Guard protections in order to use Credential Guard.

  5. (Optional) **Verbindungen mit Clouddiensten zu aktivieren.(Optional)** Enable Connectivity to Cloud Services. Dieser Schrittermöglicht die Verwaltung von Clouddiensten wie Azure und Office365 mit geeigneten Sicherheitsmaßnahmen.This step allows management of cloud services like Azure and Office 365 with appropriate security assurances. Dieser Schrittist auch für Microsoft Intune zum Verwalten der PAWs erforderlich.This step is also required for Microsoft Intune to manage the PAWs.

    Hinweis

    Überspringen Sie diesen Schritt, wenn keine cloudkonnektivität für die Verwaltung von Clouddiensten oder die Verwaltung von Intune erforderlich ist.Skip this step if no cloud connectivity is required for administration of cloud services or management by Intune.

    Diese Schrittewerden beschränken die Kommunikation über das Internet nur autorisierte Clouddienste (jedoch nicht dem offenen Internet) und fügen Schutzmaßnahmen für die Browser und andere Anwendungen, die Inhalte aus dem Internet verarbeiten.These steps will restrict communication over the internet to only authorized cloud services (but not the open internet) and add protections to the browsers and other applications that will process content from the internet. Diese PAWs für die Verwaltung sollten niemals für standardbenutzeraufgaben wie Internetkommunikation und produktivitätsanwendungen verwendet werden.These PAWs for administration should never be used for standard user tasks like internet communications and productivity.

    Zum Aktivieren von Verbindungen mit PAW führen Sie die Dienste die folgenden Schritteaus:To enable connectivity to PAW services follow the steps below:

    1. Konfigurieren Sie die PAW, um nur autorisierte Internetziele zugelassen.Configure PAW to allow only authorized Internet destinations. Wie Sie Ihre PAW-Bereitstellung zum Aktivieren der Verwaltung in der Cloud erweitern, müssen Sie ermöglichen den Zugriff auf autorisierte Dienste und gleichzeitig den Zugriff aus dem Internet öffnen, in dem können Angriffe leichter Ihre Administratorkonten bereitgestellt werden.As you extend your PAW deployment to enable cloud administration, you need to allow access to authorized services while filtering out access from the open internet where attacks can more easily be mounted against your admins.

      1. Erstellen Sie Clouddienstadministratoren Gruppe, und fügen Sie alle Konten hinzu, die Zugriff auf Clouddienste im Internet erforderlich ist.Create Cloud Services Admins group and add all of the accounts to it that require access to cloud services on the internet.

      2. Laden Sie die PAW proxy.pac aus der Datei TechNet Gallery und veröffentlichen Sie es auf einer internen Website.Download the PAW proxy.pac file from TechNet Gallery and publish it on an internal website.

        Hinweis

        Sie benötigen zum Aktualisieren der proxy.pac Datei nach dem Herunterladen, um sicherzustellen, dass sie auf dem neuesten Stand und abgeschlossen ist.You will need to update the proxy.pac file after downloading to ensure that it is up-to-date and complete.
        Microsoft veröffentlicht alle aktuellen Office365 und Azure-URLs im Büro Supportcenter.Microsoft publishes all current Office 365 and Azure URLs in the Office Support Center.

        Sie müssen möglicherweise weitere gültige Internetziele für andere IaaS-Anbieter zu dieser Liste hinzufügen, aber nicht hinzufügen, Produktivität, Unterhaltung, Nachrichten, oder suchwebsites zu dieser Liste hinzufügen.You may need to add other valid Internet destinations to add to this list for other IaaS provider, but do not add productivity, entertainment, news, or search sites to this list.

        Sie müssen auch die PAC-Datei um eine gültige Proxyadresse für diese Adressen verwenden aufzunehmen anpassen.You may also need to adjust the PAC file to accommodate a valid proxy address to use for these addresses.

        Hinweis

        Sie können auch den Zugriff von der PAW auch über einen Webproxy umfassendem Schutz beschränken.You can also restrict access from the PAW using a web proxy as well for defense in depth. Es wird nicht empfohlen dies selbst ohne PAC-Datei wie es nur den Zugriff für PAWs, während Sie mit dem Unternehmensnetzwerk verbunden sind eingeschränkt wird.We don't recommend using this by itself without the PAC file as it will only restrict access for PAWs while connected to the corporate network.

        Diese Anweisungen wird davon ausgegangen, dass Sie Internet Explorer (oder Microsoft Edge) verwenden für die Verwaltung von Office365, Azure und andere Cloud-Dienste.These instructions assume that you will be using Internet Explorer (or Microsoft Edge) for administration of Office 365, Azure, and other cloud services. Microsoft empfiehlt, ähnliche Einschränkungen für 3rd Party Browsern, die Sie, für die Verwaltung benötigen konfigurieren.Microsoft recommends configuring similar restrictions for any 3rd party browsers that you require for administration. Web-Browser auf den PAWs sollte nur für die Verwaltung von Cloud-Diensten und niemals zum allgemeinen Webbrowsen verwendet werden.Web browsers on PAWs should only be used for administration of cloud services, and never for general web browsing.

      3. Nach der Konfiguration der proxy.pac Datei, aktualisieren Sie die PAW-Konfiguration – Benutzer Gruppenrichtlinienobjekt.Once you have configured the proxy.pac file, update the PAW Configuration - User GPO.

        1. Wechseln Sie zu Benutzer Configuration\Preferences\Windows Settings\Registry.Go to User Configuration\Preferences\Windows Settings\Registry. Maustaste auf die Registrierung, und wählen Sie neu > Registrierungselement und konfigurieren Sie die folgenden Einstellungen:Right-click Registry, select New > Registry Item and configure the following settings:

          1. Aktion: ErsetzenAction: Replace

          2. Struktur: Die HKEY_ CURRENT_USERHive: HKEY_ CURRENT_USER

          3. Schlüsselpfad: Software\Microsoft\Windows\CurrentVersion\Internet SettingsKey Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings

          4. Wertname: AutoConfigUrlValue name: AutoConfigUrl

            Hinweis

            Wählen Sie nicht die Standard auf der linken Seite der Wertname.Do not select the Default box to the left of Value name.

          5. Werttyp: REG_SZValue type: REG_SZ

          6. Wertdaten: Geben Sie die vollständige URL in die proxy.pac Datei, z.B. http:// und den Namen der Datei – z.B. http://proxy.fabrikam.com/proxy.pac.Value data: enter the complete URL to the proxy.pac file, including http:// and the file name - for example http://proxy.fabrikam.com/proxy.pac. Die URL kann auch mit einer einzelnen Bezeichnung URL - z.B. http://proxy/proxy.pac sein.The URL can also be a single-label URL - for example, http://proxy/proxy.pac

            Hinweis

            Die PAC-Datei kann auch auf eine Dateifreigabe, mit der Syntax des file://server.fabrikan.com/share/proxy.pac gehostet werden, aber dies erfordert, sodass das file://-Protokoll dar.The PAC file can also be hosted on a file share, with the syntax of file://server.fabrikan.com/share/proxy.pac but this requires allowing the file:// protocol. Finden Sie im Abschnitt "Hinweis: File://-based veralteten" dieses Understanding Web Proxy Configuration Blog für Weitere Informationen zum Konfigurieren des erforderlichen Registrierungswerts.See the "NOTE: File://-based Proxy Scripts Deprecated" section of this Understanding Web Proxy Configuration blog for additional detail on configuring the required registry value.

          7. Klicken Sie auf die allgemeine Registerkarte, und wählen Sie dieses Element entfernen, wenn es nicht mehr angewendet wird.Click the Common tab and select Remove this item when it is no longer applied.

          8. Auf der allgemeine wählen Registerkarte Zielgruppenadressierung auf Elementebene, und klicken Sie auf Zielgruppenadressierung.On the Common tab select Item level targeting and click Targeting.

          9. Klicken Sie auf neues Element, und wählen Sie Sicherheitsgruppe.Click New Item and select security group.

          10. Wählen Sie die Schaltfläche "...", und suchen Sie nach der Clouddienstadministratoren Gruppe.Select the "..." button and browse for the Cloud Services Admins group.

          11. Klicken Sie auf neues Element, und wählen Sie Sicherheitsgruppe.Click New Item and select security group.

          12. Wählen Sie die Schaltfläche "...", und suchen Sie nach der PAW Users Gruppe.Select the "..." button and browse for the PAW Users group.

          13. Klicken Sie auf die PAW Users Element, und klicken Sie auf Elementoptionen.Click on the PAW Users item and click Item Options.

          14. Wählen Sie ist nicht.Select Is not.

          15. Klicken Sie auf OK im Fenster vorgesehen sind.Click OK on the targeting window.

          16. Klicken Sie auf OK zum Abschließen der AutoConfigUrl Gruppenrichtlinieneinstellung.Click OK to complete the AutoConfigUrl group policy setting.

    2. Wenden Sie Windows10-Sicherheitsbaselines und Cloud-Dienst den Zugriff Link die sicherheitsgrundwerte für Windows und Cloud-Dienst zugreifen können (falls erforderlich) mit den richtigen Organisationseinheiten mithilfe der folgenden Schritteaus:Apply Windows 10 Security baselines and Cloud Service Access Link the security baselines for Windows and for cloud service access (if required) to the correct OUs using the steps below:

      1. Extrahieren Sie den Inhalt der Windows10 Security Baselines ZIP-Datei.Extract the contents of the Windows 10 Security Baselines ZIP file.

      2. Erstellen Sie diese Gruppenrichtlinienobjekte Importieren der Richtlinie -Einstellungen und Link gemäß der folgenden Tabelle.Create these GPOs, import the policy settings, and link per this table. Verknüpfen Sie jede Richtlinie mit jedem Speicherort und stellen Sie sicher, die Reihenfolge der Tabelle entspricht (spätere Einträge in der Tabelle sollten später angewendet und mit höherer Priorität werden):Link each policy to each location and ensure the order follows the table (lower entries in table should be applied later and higher priority):

        Richtlinien:Policies:

        CM Windows10 – DomänensicherheitCM Windows 10 - Domain Security N/v – jetzt nicht verknüpfenN/A - Do Not Link Now
        SCM Windows10 TH2 – ComputerSCM Windows 10 TH2 - Computer Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        SCM Windows10 TH2 – BitLockerSCM Windows 10 TH2- BitLocker Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        SCM Windows10 – Credential GuardSCM Windows 10 - Credential Guard Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        SCM Internet Explorer – ComputerSCM Internet Explorer - Computer Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        PAW-Konfiguration – ComputerPAW Configuration - Computer Admin\Tier 0\Devices (vorhanden)Admin\Tier 0\Devices (Existing)
        Admin\Tier 1\Devices (neue Verknüpfung)Admin\Tier 1\Devices (New Link)
        Admin\Tier 2\Devices (neue Verknüpfung)Admin\Tier 2\Devices (New Link)
        RestrictedAdmin erforderlich – ComputerRestrictedAdmin Required - Computer Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        SCM Windows10 - BenutzerSCM Windows 10 - User Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        SCM Internet Explorer – BenutzerSCM Internet Explorer - User Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        PAW-Konfiguration – BenutzerPAW Configuration - User Admin\Tier 0\Devices (vorhanden)Admin\Tier 0\Devices (Existing)
        Admin\Tier 1\Devices (neue Verknüpfung)Admin\Tier 1\Devices (New Link)
        Admin\Tier 2\Devices (neue Verknüpfung)Admin\Tier 2\Devices (New Link)

        Hinweis

        Die "SCM Windows10 – Domäne Security" Gruppenrichtlinienobjekt mit der Domäne unabhängig von der PAW verknüpft werden kann, aber Sie wirkt sich auf die gesamte Domäne.The "SCM Windows 10 - Domain Security" GPO may be linked to the domain independently of PAW, but will affect the entire domain.

  6. (Optional) **Weitere erforderliche Tools für Administratoren auf Ebene 1 installieren.(Optional)** Install additional required tools for Tier 1 Admins. Installieren Sie weitere Tools oder Skripts, die zum Ausführen von Aufgaben erforderlich.Install any other tools or scripts required to perform job duties. Sicherstellen, dass das Risiko einer Offenlegung von Anmeldeinformationen auf den Zielcomputern mit einem beliebigen Tool einhergeht, bevor auf einer paw installieren.Ensure to evaluate the risk of credential exposure on the target computers with any tool before adding it to a PAW. Weitere Informationen zur Bewertung von Verwaltungstools und Risikos für Anmeldeinformationen durch Methoden finden Sie unter auf dieser Seite.For more information on evaluating administrative tools and connection methods for credential exposure risk visit this page. Sicherstellen, dass um alle Installationsmedien die in der vertrauenswürdigen Quelle für Installationsmedien zu erhalten.Ensure to obtain all installation media using the guidance in Clean Source for installation media

  7. Identifizieren Sie und erhalten Sie sicher zu, Software und Anwendungen, die für die Verwaltung benötigt.Identify and safely obtain software and applications required for administration. Dies ähnelt den entsprechenden Aufgaben in Phase 1, aber einen umfassenderen Bereich aufgrund der größeren Anzahl von Anwendungen, Dienste und Systeme gesichert werden müssen.This is similar to the work performed in Phase 1, but with a broader scope due to the increased number of applications, services, and systems being secured.

    Hinweis

    Stellen Sie sicher, dass Sie diese neuen Anwendungen (einschließlich Webbrowsern) schützen, indem Sie zustimmen Schutzmaßnahmen von EMET darauf.Ensure that you protect these new applications (including web browsers) by opting them into the protections provided by EMET.

    Beispiele für zusätzliche Software und Anwendungen:Examples of additional software and applications include:

    • Microsoft Azure PowerShellMicrosoft Azure PowerShell

    • Office365 PowerShell (auch bekannt als Microsoft Online Services-Modul)Office 365 PowerShell (also known as Microsoft Online Services Module)

    • Anwendung oder Dienst-Verwaltungssoftware basierend auf der Microsoft Management ConsoleApplication or service management software based on the Microsoft Management Console

    • Proprietäre (nicht MMC-basierte) Anwendung oder Service Management-SoftwareProprietary (non-MMC-based) application or service management software

      Hinweis

      Viele Anwendungen werden jetzt ausschließlich über Webbrowser, einschließlich viele Clouddienste verwaltet.Many applications are now exclusively managed via web browsers, including many cloud services. Obwohl dadurch die Anzahl der Anwendungen, die auf einer PAW installiert werden müssen, wird auch das Risiko von Interoperabilitätsproblemen der Browser eingeführt.While this reduces the number of applications which need to be installed on a PAW, it also introduces the risk of browser interoperability issues. Sie müssen einen Nicht-Microsoft-Webbrowser auf bestimmten PAW-Instanzen, aktivieren Sie die Verwaltung bestimmter Dienste bereitstellen.You may need to deploy a non-Microsoft web browser onto specific PAW instances to enable administration of specific services. Wenn Sie einen zusätzlichen Webbrowser bereitstellen, stellen Sie sicher, dass Sie alle vertrauenswürdigen Quelle Prinzipien folgen und sichern den Browser gemäß den Sicherheitsinformationen des Herstellers.If you do deploy an additional web browser, ensure that you follow all clean source principles and secure the browser according to the vendor's security guidance.

  8. (Optional) **Herunterladen und installieren Sie alle erforderlichen Verwaltungs-Agents.(Optional)** Download and install any required management agents.

    Hinweis

    Wenn Sie zusätzliche Verwaltungs-Agents (Überwachung, Sicherheit, konfigurationsverwaltung usw.) installieren möchten, ist es wichtig, sicherzustellen, dass die Verwaltungssystemen auf der gleichen Ebene als Domänencontroller und Identitätssysteme vertrauenswürdig sind.If you choose to install additional management agents (monitoring, security, configuration management, etc.), it is vital that you ensure the management systems are trusted at the same level as domain controllers and identity systems. Weitere Informationen finden Sie im verwalten und Aktualisieren von PAWs.See the Managing and Updating PAWs for additional guidance.

  9. Bewerten Sie Ihre Infrastruktur, um Systeme zu identifizieren, die zusätzliche Sicherheit Schutzmaßnahmen durch eine PAW erfordern.Assess your infrastructure to identify systems which require the additional security protections provided by a PAW. Stellen Sie sicher, dass Sie wissen genau, welche Systeme geschützt werden müssen.Ensure that you know exactly which systems must be protected. Stellen Sie kritische Fragen zu den Ressourcen selbst, wie z.B.:Ask critical questions about the resources themselves, such as:

    • Wo befinden sich die Zielsysteme, die verwaltet werden müssen?Where are the target systems which must be managed? Sind sie in einem einzigen physischen Ort erfasst oder mit einem klar definierten Subnetz verbunden?Are they collected in a single physical location, or connected to a single well-defined subnet?

    • Wie viele Systeme sind vorhanden?How many systems are there?

    • Führen Sie diese Systeme anderen Systemen abhängig (Virtualisierung, Speicher usw.), und wenn dies der Fall ist, wie werden diese Systeme verwaltet?Do these systems depend on other systems (virtualization, storage, etc.), and if so, how are those systems managed? Wie werden die kritischen Systeme verfügbar gemacht werden, um diese Abhängigkeiten, und welche zusätzlichen Risiken durch diese Abhängigkeiten verbunden?How are the critical systems exposed to these dependencies, and what are the additional risks associated with those dependencies?

    • Wie kritisch sind die verwalteten Dienste, und was ist Verlusten, wenn diese Dienste gefährdet sind?How critical are the services being managed, and what is the expected loss if those services are compromised?

      Hinweis

      Fügen Sie Ihre Clouddienste in dieser Bewertung - Angreifer Zielen immer häufiger auf unsichere cloudbereitstellungen und ist es besonders wichtig, dass Sie diese Dienste verwalten, wie Sie Ihre unternehmenskritischen lokalen Anwendungen sicher.Include your cloud services in this assessment - attackers increasingly target insecure cloud deployments, and it is vital that you administer those services as securely as you would your on-premises mission-critical applications.

      Verwenden Sie diese Bewertung, um Systeme zu identifizieren, die zusätzlichen Schutz benötigen, und erweitern Sie Ihr PAW-Programm an den Administratoren dieser Systeme.Use this assessment to identify the specific systems which require additional protection, and then extend your PAW program to the administrators of those systems. Beispiele für Systeme, die erheblich von der PAW-basierte Verwaltung profitieren enthalten SQL Server (lokal und SQL Azure), Personalabteilung Anwendungen und Finanzsoftware.Common examples of systems which benefit greatly from PAW-based administration include SQL Server (both on-premises and SQL Azure), human resources applications, and financial software.

      Hinweis

      Wenn eine Ressource aus einem Windows-System verwaltet wird, kann mit einer PAW verwaltet werden, auch wenn die Anwendung selbst unter einem Betriebssystem als Windows oder auf einer Nicht-Microsoft-Cloud-Plattform ausgeführt wird.If a resource is managed from a Windows system, it can be managed with a PAW, even if the application itself runs on an operating system other than Windows or on a non-Microsoft cloud platform. Beispielsweise sollte der Besitzer eines Amazon Web Services-Abonnements nur eine PAW verwenden, dieses Konto zu verwalten.For example, the owner of an Amazon Web Services subscription should only use a PAW to administer that account.

  10. Entwickeln Sie eine Anforderungs- und Verteilungsmethode Methode für die Bereitstellung von PAWs in großem Umfang in Ihrer Organisation.Develop a request and distribution method for deploying PAWs at scale in your organization. Abhängig von der Anzahl der PAWs, die Sie in Phase 2 bereitstellen möchten, müssen Sie möglicherweise den Prozess automatisieren.Depending on the number of PAWs you choose to deploy in Phase 2, you may need to automate the process.

    • Erwägen Sie die Entwicklung, einen formellen Anforderungs- und Genehmigungsprozess für Administratoren, mit denen eine PAW zu erhalten.Consider developing a formal request and approval process for administrators to use to obtain a PAW. Dieser Prozess können Sie den Bereitstellungsprozess standardisieren, Verantwortlichkeit für PAW-Geräte sicherstellen und Lücken in der PAW-Bereitstellung zu identifizieren.This process would help standardize the deployment process, ensure accountability for PAW devices, and help identify gaps in PAW deployment.

    • Wie bereits erwähnt, sollte diese Lösung für die Bereitstellung unabhängig von vorhandenen Automatisierungsmethoden (die bereits gefährdet sind möglicherweise) und in Phase 1 beschriebenen Prinzipien befolgen.As stated previously, this deployment solution should be separate from existing automation methods (which may have already been compromised) and should follow the principles outlined in Phase 1.

      Hinweis

      Jedes System, das Ressourcen verwaltet, sollten sich auf der gleichen oder einer höheren Vertrauensebene verwaltet.Any system which manages resources should itself managed at the same or higher trust level.

  11. Überprüfen und ggf. zusätzliche Profile bereitstellen.Review and if necessary deploy additional PAW hardware profiles. Das Hardwareprofil, die, das Sie für Phase 1 ausgewählt haben, möglicherweise nicht für alle Administratoren geeignet.The hardware profile you chose for Phase 1 deployment may not be suitable for all administrators. Überprüfen Sie die Hardwareprofile, und wählen Sie ggf. zusätzliche Profile aus, um die Anforderungen der Administratoren zu erfüllen.Review the hardware profiles and if appropriate select additional PAW hardware profiles to match the needs of the administrators. Z.B. das dedizierte Hardware-Profil (Trennung von PAWS und täglich verwenden Arbeitsstationen) ist möglicherweise nicht für einen Administrator, der viel unterwegs – in diesem Fall können Sie die gleichzeitige Verwendung Profil (PAW mit Benutzer-VM) für diesen Administrator bereitstellen.For example, the Dedicated Hardware profile (separate PAW and daily use workstations) may be unsuitable for an administrator who travels often - in this case, you might choose to deploy the Simultaneous Use profile (PAW with user VM) for that administrator.

  12. Berücksichtigen Sie die Kultur, Betrieb, Kommunikation und die mit einer erweiterte PAW-Bereitstellung einhergehen.Consider the cultural, operational, communications, and training needs which accompany an extended PAW deployment. Eine so wesentliche Änderung an einem Verwaltungsmodell erfordert naturgemäß auch Änderungsmanagement zu einem gewissen Grad, und es ist wichtig, die in das Bereitstellungsprojekt selbst zu erstellen.Such a significant change to an administrative model will naturally require change management to some degree, and it is essential to build that into the deployment project itself. Mindestens die folgenden Punkte:Consider at a minimum the following:

    • Wie kommunizieren Sie die Änderungen an die Führungsebene, um sicherzustellen, dass ihre Unterstützung?How will you communicate the changes to senior leadership to ensure their support? Ein Projekt, das ohne Führungskräften unterstützt wahrscheinlich Fehler auf, oder die zumindest kämpfen Finanzierung und allgemeine Akzeptanz.Any project without senior leadership backing is likely to fail, or at the very least struggle for funding and broad acceptance.

    • Wie werden Sie den neuen Prozess für Administratoren dokumentieren?How will you document the new process for administrators? Diese Änderungen müssen dokumentiert und mitgeteilt werden, nicht nur den vorhandenen Administratoren (die müssen ihre Gewohnheiten ändern und Verwalten von Ressourcen auf andere Weise), sondern auch neuen Administratoren (die die Organisation befördert oder innerhalb).These changes must be documented and communicated not only to existing administrators (who must change their habits and manage resources in a different way), but also for new administrators (those promoted from within or hired from outside the organization). Es ist wichtig, dass die Dokumentation klar ist und die Bedeutung von Bedrohungen, die Rolle von PAWS zum Schutz der Administratoren und wie Sie die richtige Verwendung vollständig paws.It is essential that the documentation is clear and fully articulates the importance of the threats, PAW's role in protecting the admins, and how to use PAW correctly.

      Hinweis

      Dies ist besonders wichtig bei Rollen mit hoher Umsatz, einschließlich, aber nicht beschränkt auf Helpdeskmitarbeitern.This is especially important for roles with high turnover, including but not limited to help desk personnel.

    • Wie stellen sicher Sie die Kompatibilität mit den neuen Prozess?How will you ensure compliance with the new process? Während das PAW-Modell eine Reihe von technischen Kontrollmechanismen, um zu verhindern, dass die Offenlegung privilegierter Anmeldeinformationen enthält, ist es unmöglich, alle möglichen gefährdungen allein mit technischen Mitteln vollständig zu verhindern.While the PAW model includes a number of technical controls to prevent the exposure of privileged credentials, it is impossible to fully prevent all possible exposure purely using technical controls. Obwohl es möglich, um zu verhindern, dass einen Administrator an einem Benutzerdesktop mit privilegierten Anmeldeinformationen erfolgreich angemeldet ist, kann z.B. allein der Versuch der Anmeldung die Anmeldeinformationen für eine Schadsoftware auf diesem Computer verfügbar machen.For example, although it is possible to prevent an administrator from successfully logging onto a user desktop with privileged credentials, the simple act of attempting the logon can expose the credentials to malware installed on that user desktop. Daher ist es wichtig, dass Sie nicht nur die Vorteile des PAW-Modells, sondern auch die Risiken der Nichtkompatibilität zu gliedern.It is therefore essential that you articulate not only the benefits of the PAW model, but the risks of non-compliance. Dies sollte ergänzt werden, durch Überwachungs- und Warnungsfunktionen, sodass Offenlegung von Anmeldeinformationen schnell erkannt und behoben werden kann.This should be complemented by auditing and alerting so that credential exposure can be quickly detected and addressed.

Phase 3: Erweitern Sie und verbessern Sie des SchutzesPhase 3: Extend and Enhance Protection

Einsatzbereich: Diese Schutzmaßnahmen erweitern die Systeme in Phase 1, dadurch unterstützt den grundlegenden Schutz mit erweiterten Features, einschließlich mehrstufige Authentifizierung und Netzwerkzugriffsregeln.Scope: These protections enhance the systems built in Phase 1, bolstering the basic protection with advanced features including multi-factor authentication and network access rules.

Hinweis

In dieser Phase kann jederzeit nach Abschluss der Phase 1 ausgeführt werden.This phase can be performed at any time after Phase 1 has been completed. Es ist nicht Beendigung von Phase 2 abhängig und kann daher vor dem durchgeführt, gleichzeitig mit oder nach Phase 2.It is not dependent on completion of Phase 2, and thus can be performed before, concurrent with, or after Phase 2.

Gehen Sie folgendermaßen vor, um diese Phase zu konfigurieren:Follow the steps below to configure this phase:

  1. Aktivieren Sie die mehrstufige Authentifizierung für privilegierte Konten.Enable multi-factor authentication for privileged accounts. Mehrstufige Authentifizierung verstärkt die kontosicherheit dem Benutzer ein physisches Token neben Anmeldeinformationen bereitstellen.Multi-factor authentication strengthens account security by requiring the user to provide a physical token in addition to credentials. Multi-Factor Authentication ergänzt Authentifizierungsrichtlinien sehr gut, aber es hängt nicht Authentifizierungsrichtlinien für die Bereitstellung (und, Authentifizierungsrichtlinien erfordern auch keine Multi-Factor Authentication).Multi-factor authentication complements authentication policies extremely well, but it does not depend on authentication policies for deployment (and, similarly, authentication policies do not require multi-factor authentication). Microsoft empfiehlt die Verwendung einer der folgenden Formen der mehrstufigen Authentifizierung:Microsoft recommends using one of these forms of multi-factor authentication:

    • Smart Card: eine Smartcard ist ein Manipulationssicheres, tragbares physisches Gerät und dadurch eine zweite Überprüfung während des Anmeldevorgangs für Windows.Smart card: A smart card is a tamper-resistant and portable physical device which provides a second verification during the Windows logon process. Dass ein Benutzer für die Anmeldung eine Karte besitzen, können Sie das Risiko von gestohlenen Anmeldeinformationen Remote wiederverwendet werden reduzieren.By requiring an individual to possess a card for logon, you can reduce the risk of stolen credentials being reused remotely. Ausführliche Informationen zu Smartcard-Anmeldung in Windows finden Sie im Artikel Smart Card Overview.For details on smart card logon in Windows, please refer to the article Smart Card Overview.

    • Virtuelle Smartcard: eine virtuelle Smartcard bietet die gleichen Sicherheitsvorteile wie physische Smartcards mit den zusätzlichen Vorteil auf bestimmte Hardware verknüpft wird.Virtual smart card: A virtual smart card provides the same security benefits as physical smart cards, with the added benefit of being linked to specific hardware. Ausführliche Informationen zu Bereitstellung und Hardwareanforderungen finden Sie in den Artikeln Virtual Smart Card Overview und erste Schrittemit virtuellen Smartcards: Handbuch mit exemplarischer Vorgehensweise.For details on deployment and hardware requirements, please refer to the articles, Virtual Smart Card Overview and Get Started with Virtual Smart Cards: Walkthrough Guide.

    • Microsoft Passport: Microsoft Passport können Benutzer, die für die Authentifizierung bei einem Microsoft-Konto, ein Active Directory-Konto, Microsoft Azure Active Directory (Azure AD)-Konto oder Nicht-Microsoft-Dienst, der Fast ID Online (FIDO)-Authentifizierung unterstützt.Microsoft Passport: Microsoft Passport lets users authenticate to a Microsoft account, an Active Directory account, a Microsoft Azure Active Directory (Azure AD) account, or non-Microsoft service that supports Fast ID Online (FIDO) authentication. Nach einer anfänglichen zweistufigen Überprüfung bei der Microsoft Passport-Registrierung ein Microsoft Passport auf dem Gerät des Benutzers eingerichtet wird, und der Benutzer legt eine Geste, die Windows Hello oder eine PIN sein kann.After an initial two-step verification during Microsoft Passport enrollment, a Microsoft Passport is set up on the user's device and the user sets a gesture, which can be Windows Hello or a PIN. Microsoft Passport-Anmeldeinformationen handelt es sich um ein asymmetrisches Schlüsselpaar, die innerhalb der isolierten Umgebungen von Trusted Platform Modules (TPMs) generiert werden kann.Microsoft Passport credentials are an asymmetric key pair, which can be generated within isolated environments of Trusted Platform Modules (TPMs). Weitere Informationen zu Microsoft Passport Microsoft Passport – Überblick Artikel.For more information on Microsoft Passport read Microsoft Passport overview article.

    • Azure Multi-Factor Authentication: Azure Multi-Factor Authentication (MFA) bietet die Sicherheit von einem zweiten überprüfungsfaktors sowie die erweiterten Schutz durch Überwachung und Machine Learning-basierte Analysen.Azure multi-factor authentication: Azure multi-factor authentication (MFA) provides the security of a second verification factor as well as enhanced protection through monitoring and machine-learning-based analysis. Azure MFA kann nicht nur Azure-Administratoren, sondern auch viele andere Lösungen schützen, z.B. Webanwendungen, Azure Active Directory und lokale Lösungen wie Remotezugriff und Remotedesktop.Azure MFA can secure not only Azure administrators but many other solutions as well, including web applications, Azure Active Directory, and on-premises solutions like remote access and Remote Desktop. Weitere Informationen zu Azure Multi-Factor Authentication, finden Sie im Artikel Multi-Factor Authentication.For more information on Azure multi-factor authentication, please refer to the article Multi-Factor Authentication.

  2. Positivliste vertrauenswürdige Anwendungen über Device Guard und/oder AppLocker.Whitelist trusted applications using Device Guard and/or AppLocker. Durch die Möglichkeit einschränken von nicht vertrauenswürdigen oder nicht signierter Code auf einer PAW ausgeführt, können Sie außerdem die Wahrscheinlichkeit schädlicher Aktivitäten und gefährdungen verringern.By limiting the ability of untrusted or unsigned code to run on a PAW, you further reduce the likelihood of malicious activity and compromise. Windows enthält zwei primäre Optionen für die anwendungssteuerung:Windows includes two primary options for application control:

    • AppLocker: mit AppLocker können Administratoren steuern, welche Anwendungen auf einem bestimmten System ausgeführt werden können.AppLocker: AppLocker helps administrators control which applications can run on a given system. AppLocker kann werden zentral durch eine Gruppenrichtlinie gesteuert und auf bestimmte Benutzer oder Gruppen (für die Zielanwendung für Benutzer von PAWs) angewendet.AppLocker can be centrally controlled through group policy, and applied to specific users or groups (for targeted application to users of PAWs). Weitere Informationen zu AppLocker finden Sie im TechNet-Artikel AppLocker: Übersicht.For more information on AppLocker, please refer to the TechNet article AppLocker Overview.

    • Deviceguard: das neue Device Guard-Feature bietet erweiterte hardwarebasierte anwendungssteuerung, die im Gegensatz zu AppLocker nicht überschrieben werden kann, auf dem betroffenen Gerät.Device Guard: the new Device Guard feature provides enhanced hardware-based application control which, unlike AppLocker, cannot be overridden on the impacted device. Ebenso wie AppLocker kann Device Guard über eine Gruppenrichtlinie gesteuert und auf bestimmte Benutzer ausgerichtet werden.Like AppLocker, Device Guard can be controlled via group policy and targeted to specific users. Weitere Informationen zum Einschränken der anwendungsnutzung mit Device Guard finden Sie im TechNet-Artikel Device Guard-Bereitstellungshandbuch.For more information on restricting application usage with Device Guard, please refer to the TechNet article, Device Guard Deployment Guide.

  3. Mit der geschützten Benutzer, Authentifizierungsrichtlinien und Authentifizierungssilos weiteren Schutz von privilegierten Konten.Use Protected Users, Authentication Policies, and Authentication Silos to further protect privileged accounts. Die Member der geschützten Benutzer gelten zusätzliche Sicherheitsrichtlinien, die die Anmeldeinformationen schützen befinden sich in der lokalen Sicherheits-Agent (LSA) und erheblich Minimieren des Risikos der Diebstahl und Wiederverwendung.The members of Protected Users are subject to additional security policies which protect the credentials stored in the local security agent (LSA) and greatly minimize the risk of credential theft and reuse. Authentifizierungsrichtlinien und Silos steuern, wie Benutzer Zugriff auf Ressourcen in der Domäne.Authentication policies and silos control how privileged users can access resources in the domain. Gemeinsamem Einsatz Stärken diese Schutzmaßnahmen erheblich die kontosicherheit dieser Benutzer.Collectively, these protections dramatically strengthen the account security of these privileged users. Weitere Informationen zu diesen Features finden Sie unter Webartikel How to Configure Protected Accounts.For additional details on these features, please refer to the web article How to Configure Protected Accounts.

    Hinweis

    Diese Schutzmaßnahmen zu ergänzen, nicht ersetzen, vorhandenen Sicherheitsmaßnahmen in Phase 1.These protections are meant to complement, not replace, existing security measures in Phase 1. Administratoren sollten weiterhin getrennte Konten für Verwaltung und allgemeine Nutzung verwenden.Administrators should still use separate accounts for administration and general use.

Verwalten und Aktualisieren von PAWsManaging and Updating PAWs

PAWs müssen Anti-Malware-Funktionen und Softwareupdates müssen schnell angewendet werden, um die Integrität dieser Arbeitsstationen zu erhalten.PAWs must have anti-malware capabilities and software updates must be rapidly applied to maintain integrity of these workstations.

Zusätzliche Konfigurationsschritte, operative Überwachung und Verwaltung der Sicherheit können auch auf den paws verwendet werden, aber die Integration dieser muss sorgfältig berücksichtigt werden, da jede Verwaltungsfunktion Risiko einer Gefährdung der PAW über dieses Tool eingeführt.Additional configuration management, operational monitoring, and security management can also be used with PAWs, but the integration of these must be considered carefully because each management capability also introduces risk of PAW compromise through that tool. Ob es sinnvoll, erweiterte Verwaltungsfunktionen einzuführen, hängt von einer Reihe von Faktoren ab:Whether it makes sense to introduce advanced management capabilities depends on a number of factors including:

  • Der Sicherheitsstatus und -Verfahren des Verwaltungstools (einschließlich Softwareupdateverfahren für das Tool, Administratorrollen und Konten in diesen Rollen, Betriebssysteme, die das Tool gehostet oder verwaltet und anderen Hardware oder Software Abhängigkeiten des Tools)The security state and practices of the management capability (including software update practices for the tool, administrative roles and accounts in those roles, operating systems the tool is hosted on or managed from, and any other hardware or software dependencies of that tool)

  • Die Häufigkeit und Umfang von softwarebereitstellungen und -Updates auf den PAWsThe frequency and quantity of software deployments and updates on your PAWs

  • Anforderungen an detaillierte Bestands- und Konfigurationsinformationen InformationenRequirements for detailed inventory and configuration information

  • Anforderungen an die SicherheitsüberwachungSecurity monitoring requirements

  • Organisationsinterne Standards und weitere organisationsspezifische FaktorenOrganizational standards and other organizational-specific factors

Das Prinzip der vertrauenswürdigen Quelle müssen allen Tools zum Verwalten und Überwachen der PAWs verwendet vertrauenswürdigen mindestens die Ebene der paws vertraut sein.Per the clean source principle, all tools used to manage or monitor the PAWs must be trusted at or above the level of the PAWs. Dies erfordert in der Regel diese Tools über eine paw erfolgt, um sicherzustellen, dass keine sicherheitsabhängigkeiten von Arbeitsstationen der unteren Rechte verwaltet werden.This typically requires those tools to be managed from a PAW to ensure no security dependency from lower privilege workstations.

Diese Tabelle erläutert die verschiedene Vorgehensweisen, die zum Verwalten und Überwachen der PAWs verwendet werden können:This table outlines different approaches that may be used to manage and monitor the PAWs:

VorgehensweiseApproach ÜberlegungenConsiderations
Standardmäßig in PAWDefault in PAW

– Windows Server Update Services- Windows Server Update Services
-Windows Defender- Windows Defender
– Keine Zusatzkosten- No additional cost
– Führt erforderliche grundlegende Sicherheitsfunktionen- Performs basic required security functions
– Anweisungen in diesem Leitfaden enthalten- Instructions included in this guidance
Verwalten mit IntuneManage with Intune
  • Bietet cloudbasierte Transparenz und KontrolleProvides cloud based visibility and control

    • Bereitstellung von SoftwareSoftware Deployment
    • Verwaltung von Softwareupdateso Manage software updates
    • Windows-Firewall-Gruppenrichtlinien-VerwaltungskonsoleWindows Firewall policy management
    • Schutz vor malwareAnti-malware protection
    • RemoteunterstützungRemote assistance
    • Softwarelizenzverwaltung.Software license management.
  • Keine Serverinfrastruktur erforderlichNo server infrastructure required
  • Erfordert "Konnektivität zum Cloud-Dienste aktivieren", die Schrittein Phase 2Requires following "Enable Connectivity to Cloud Services" steps in Phase 2
  • Wenn der PAW-Computer einer Domäne angehört, dies ist erforderlich, die lokalen Images mithilfe der im Download Sicherheitsbaseline bereitgestellten Tools die SCM-Baselines zuweisen.If the PAW computer is not joined to a domain, this requires applying the SCM baselines to the local images using the tools provided in the security baseline download.
Neue Instanzen von System Center zum Verwalten der PAWsNew System Center instance(s) for managing PAWs – Bietet Transparenz und Kontrolle für Konfiguration, softwarebereitstellung und Sicherheitsupdates- Provides visibility and control of configuration, software deployment, and security updates
– Erfordert separate Serverinfrastruktur, Sichern es auf Ebene der PAWs und diese sehr privilegierten Mitarbeiter gesichert- Requires separate server infrastructure, securing it to level of PAWs, and staffing skills for those highly privileged personnel
Verwalten von PAWs mit vorhandenen VerwaltungstoolsManage PAWs with existing management tool(s) – Erhöht das Risiko einer Gefährdung der PAWs, sofern die vorhandene Verwaltungsinfrastruktur Sicherheitsstufe von PAWs hochgestuft wird erstellt Hinweis: Microsoft würde in der Regel davon abgeraten, diese Vorgehensweise, wenn Ihre Organisation einen bestimmten Grund dafür ist.- Creates significant risk to compromise of PAWs unless the existing management infrastructure is brought up to security level of PAWs Note: Microsoft would generally discourage this approach unless your organization has a specific reason to use it. Nach unserer Erfahrung ist in der Regel eine sehr hohe kostspielig, all diese Tools (und ihre sicherheitsabhängigkeiten) bis auf die gleiche Sicherheitsebene der PAWs zu.In our experience, there is typically a very high cost of bringing all of these tools (and their security dependencies) up to the security level of the PAWs.
– Die meisten dieser Tools bieten Transparenz und Kontrolle für Konfiguration, softwarebereitstellung und Sicherheitsupdates- Most of these tools provide visibility and control of configuration, software deployment, and security updates
Für Sicherheitsüberprüfung und Überwachungstools, die Administratorzugriff erfordernSecurity Scanning or monitoring tools requiring admin access Enthält alle Tools, die einen Agent installieren oder ein Konto mit lokalem Administratorzugriff erforderlich.Includes any tool that installs an agent or requires an account with local administrative access.

– Erfordert Tool Sicherheitsgarantie bis Ebene der PAWs zu portieren.- Requires bringing tool security assurance up to level of PAWs.
– Möglicherweise muss die Sicherheitsebene der PAWs Tool-Funktionalität unterstützen (Öffnen Sie die Ports, installieren Sie Java oder anderer Middleware usw.), erstellen einen Kompromiss sicherheitsentscheidung- May require lowering security posture of PAWs to support tool functionality (open ports, install Java or other middleware, etc.), creating a security trade-off decision,
Sicherheit und Ereignis-Management (SIEM-Lösung)Security information and event management (SIEM)
  • Wenn SIEM-Lösung ohne Agents wirdIf SIEM is agentless

    • Zugriff auf Ereignisse auf PAWs ohne Administratorrechte können mit einem Konto in der Ereignisprotokollleser GruppeCan access events on PAWs without administrative access by using an account in the Event Log Readers group
    • Erfordert das Öffnen von Netzwerkports zum Zulassen von eingehendem Datenverkehr von den SIEM-ServernWill require opening up network ports to allow inbound traffic from the SIEM servers
  • Wenn SIEM einen Agent erfordert, finden Sie unter anderen Zeile Security Scanning or Monitoring Tools, die Administratorzugriff erfordern.If SIEM requires an agent, see other row Security Scanning or monitoring tools requiring admin access.
Windows-EreignisweiterleitungWindows Event Forwarding – Stellt eine Methode ohne Agents zum Weiterleiten von Sicherheitsereignissen von den PAWs an einen externen Datensammler oder eine SIEM-Lösung- Provides an agentless method of forwarding security events from the PAWs to an external collector or SIEM
-Ereignisse auf PAWs ohne Administratorrechte möglich- Can access events on PAWs without administrative access
– Erfordert keinen Öffnen von Netzwerkports zum Zulassen von eingehendem Datenverkehr von den SIEM-Servern- Does not require opening up network ports to allow inbound traffic from the SIEM servers

Betriebssystem von PAWsOperating PAWs

Die PAW-Lösung sollte den Standards unter betrieben werden betriebliche Standards basierend auf dem Prinzip der vertrauenswürdigen Quelle.The PAW solution should be operated using the standards in Operational Standards based on Clean Source Principle.

Interessante Cybersicherheit MicrosoftEngaging Microsoft Cybersecurity Services

Geschmack of Premier: How to Pass-the-Hash und anderen Formen des Diebstahls von Anmeldeinformationen zu verringernTaste of Premier: How to Mitigate Pass-the-Hash and Other Forms of Credential Theft

Microsoft Advanced Threat AnalyticsMicrosoft Advanced Threat Analytics

Schützen Sie abgeleiteter Domänenanmeldeinformationen mit Credential GuardProtect derived domain credentials with Credential Guard

Device Guard – ÜberblickDevice Guard Overview

Schützen von wertvollen Assets mit sicheren ArbeitsstationenProtecting high-value assets with secure admin workstations

Isolierter Benutzermodus in Windows10 mit Dave Probert (Channel 9)Isolated User Mode in Windows 10 with Dave Probert (Channel 9)

Isolierte Benutzermodusprozesse und Features in Windows10 mit Logan Gabriel (Channel 9)Isolated User Mode Processes and Features in Windows 10 with Logan Gabriel (Channel 9)

Informationen zu Prozessen und Features im isolierten Benutzermodus von Windows10 mit Dave Probert (Channel 9)More on Processes and Features in Windows 10 Isolated User Mode with Dave Probert (Channel 9)

Verringern den Diebstahl von Anmeldeinformationen mithilfe der Windows10 isolierter Benutzermodus (Channel 9)Mitigating Credential Theft using the Windows 10 Isolated User Mode (Channel 9)

Aktivieren der strengen KDC-Überprüfung in Windows-KerberosEnabling Strict KDC Validation in Windows Kerberos

Neues bei der Kerberosauthentifizierung für Windows Server 2012What's New in Kerberos Authentication for Windows Server 2012

Zur Authentifizierungsmechanismussicherung für AD DS in Windows Server 2008 R2-LeitfadenAuthentication Mechanism Assurance for AD DS in Windows Server 2008 R2 Step-by-Step Guide

Trusted Platform ModuleTrusted Platform Module