Active Directory-VerwaltungsebenenmodellActive Directory administrative tier model

Gilt für: Windows ServerApplies To: Windows Server

Dieses Ebenenmodell wird eingesetzt, um Identitätssysteme zu schützen. Zu diesem Zweck werden Pufferzonen zwischen der vollständigen Kontrolle der Umgebung (Ebene 0) und den Arbeitsstationsassets implementiert, die ein häufiges Ziel von Angreifern sind.The purpose of this tier model is to protect identity systems using a set of buffer zones between full control of the Environment (Tier 0) and the high risk workstation assets that attackers frequently compromise.

Diagramm, das die drei Ebenen des Tier-Modells zeigt

Dieses Modell beinhaltet drei Ebenen sowie ausschließlich Administratorkonten (keine standardmäßigen Benutzerkonten):The Tier model is composed of three levels and only includes administrative accounts, not standard user accounts:

  • Ebene 0: Direkte Kontrolle von Unternehmensidentitäten innerhalb der Umgebung.Tier 0 - Direct Control of enterprise identities in the environment. Die Ebene 0 umfasst Konten, Gruppen und andere Assets mit direkter oder indirekter Administratorkontrolle der Active Directory-Gesamtstruktur, -Domänen oder -Domänencontroller sowie aller zugehörigen Assets.Tier 0 includes accounts, groups, and other assets that have direct or indirect administrative control of the Active Directory forest, domains, or domain controllers, and all the assets in it. Da die Assets der Ebene 0 sich effektiv gegenseitig steuern und kontrollieren, ist die Vertraulichkeit dieser Assets äquivalent.The security sensitivity of all Tier 0 assets is equivalent as they are all effectively in control of each other.
  • Ebene 1: Kontrolle von Unternehmensservern und -anwendungen.Tier 1 - Control of enterprise servers and applications. Assets der Ebene 1 umfassen Serverbetriebssysteme, Clouddienste und Unternehmensanwendungen.Tier 1 assets include server operating systems, cloud services, and enterprise applications. Administratorkonten der Ebene 1 verfügen über administrative Berechtigungen für eine signifikante Menge von Unternehmensressourcen, die auf diesen Assets gehostet werden.Tier 1 administrator accounts have administrative control of a significant amount of business value that is hosted on these assets. Ein gängiges Beispiel sind Serveradministratoren, die die zugehörigen Betriebssysteme verwalten und damit Aufgaben ausführen, die sich auf alle Unternehmensdienste auswirken können.A common example role is server administrators who maintain these operating systems with the ability to impact all enterprise services.
  • Ebene 2: Kontrolle von Benutzerarbeitsstationen und -geräten.Tier 2 - Control of user workstations and devices. Administratorkonten der Ebene 2 verfügen über administrative Berechtigungen für eine signifikante Menge von Unternehmensressourcen, die auf Benutzerarbeitsstationen und -geräten gehostet werden.Tier 2 administrator accounts have administrative control of a significant amount of business value that is hosted on user workstations and devices. Beispiele sind Helpdesk- und Computersupportadministratoren, deren Aufgaben sich auf die Integrität von praktisch sämtlichen Benutzerdaten auswirken können.Examples include Help Desk and computer support administrators because they can impact the integrity of almost any user data.

Hinweis

Die Ebenen dienen zudem als grundlegender Priorisierungsmechanismus zum Schutz von administrativen Assets. Bedenken Sie jedoch stets, dass ein Angreifer mit Kontrolle aller Assets einer beliebigen Ebene auf die meisten oder alle Unternehmensassets zugreifen kann.The tiers also serve as a basic prioritization mechanism for protecting administrative assets, but it is important to consider that an attacker with control of all assets at any tier can access most or all business assets. Das Ebenenmodell ist ein nützlicher grundlegender Priorisierungsmechanismus, weil es eine zusätzliche Hürde für Angreifer darstellt.The reason it is useful as a basic prioritization mechanism is attacker difficulty/cost. Angreifer können ihre Pläne bei vollständiger Kontrolle aller Identitäten (Ebene 0) oder Server und Clouddienste (Ebene 1) einfacher umsetzen als in einem Szenario, in dem sie auf die einzelnen Arbeitsstationen oder Benutzergeräte (Ebene 2) zugreifen müssen, um Zugang zu den Daten Ihrer Organisation zu erhalten.It is easier for an attacker to operate with full control of all identities (Tier 0) or servers and cloud services (Tier 1) than it is if they must access each individual workstation or user device (Tier 2) to get your organization's data.

Eindämmung und SicherheitszonenContainment and security zones

Die Ebenen werden relativ zu einer bestimmten Sicherheitszone implementiert.The tiers are relative to a specific security zone. Bei Sicherheitszonen handelt es sich um einen bewährten Ansatz, mit dem Sicherheitsbedrohungen durch eine Isolierung auf der Vermittlungsschicht eingedämmt werden können.While they have gone by many names, security zones are a well-established approach that provide containment of security threats through network layer isolation between them. Das Ebenenmodell ergänzt dieses Verfahren durch das Eindämmen von Angriffsversuchen innerhalb einer Sicherheitszone, in der die Netzwerkisolation nicht greift.The tier model complements the isolation by providing containment of adversaries within a security zone where network isolation isn't effective. Sicherheitszonen können sich sowohl über lokale als auch über cloudbasierte Infrastrukturen erstrecken, beispielsweise in einem Szenario, in dem Domänencontroller und Domänenmitglieder innerhalb derselben Domäne sowohl lokal als auch in Azure gehostet werden.Security zones can span both on-premises and cloud infrastructure, such as in the example where Domain Controllers and domain members in the same domain are hosted on-premises and in Azure.

Diagramm, das zeigt, wie Sicherheitszonen jeweils die lokale als auch die Cloudinfrastruktur umfassen können

Das Ebenenmodell verhindert eine Ausweitung von Rechten, indem die Bereiche eingeschränkt werden, die Administratoren steuern und in denen sich Administratoren anmelden können (durch die Anmeldung an einem Computer erhält der Benutzer Zugang zu diesen Anmeldeinformationen und allen Assets, die über diese Anmeldeinformationen verwaltet werden).The Tier model prevents escalation of privilege by restricting what administrators can control and where they can log on (because logging on to a computer grants control of those credentials and all assets managed by those credentials).

Eingeschränkte KontrolleControl restrictions

In der Abbildung unten sind die Kontrollbereiche eingeschränkt:Control restrictions are shown in the figure below:

Diagramm der eingeschränkten Kontrolle

Primäre Aufgaben und wichtige EinschränkungenPrimary responsibilities and critical restrictions

Administrator der Ebene 0: Verwalten des Identitätsspeichers und einer kleinen Anzahl von Systemen, die diesen Speicher effektiv kontrollieren und steuern: Außerdem:Tier 0 administrator - manage the identity store and a small number of systems that are in effective control of it, and:

  • Bei Bedarf Verwalten und Steuern von Assets auf sämtlichen EbenenCan manage and control assets at any level as required
  • Interaktives Anmelden oder Zugriff auf Assets, die auf der Ebene 0 als vertrauenswürdig eingestuft werdenCan only log on interactively or access assets trusted at the Tier 0 level

Administrator der Ebene 1: Verwalten von Unternehmensservern, -diensten und -anwendungen. Außerdem:Tier 1 administrator - manage enterprise servers, services, and applications, and:

  • Ausschließlich Verwaltung und Steuerung von Assets auf Ebene 1 und Ebene 2Can only manage and control assets at the Tier 1 or Tier 2 level
  • Ausschließlich Zugriff auf Assets (über den Anmeldetyp „Netzwerk“), die auf Ebene 1 und Ebene 0 als vertrauenswürdig eingestuft werdenCan only access assets (via network logon type) that are trusted at the Tier 1 or Tier 0 levels
  • Interaktives Anmelden bei Assets, die auf der Ebene 1 als vertrauenswürdig eingestuft werdenCan only interactively log on to assets trusted at the Tier 1 level

Administrator der Ebene 2: Verwalten von Unternehmensdesktops, -laptops, -druckern und anderen Benutzergeräten. Außerdem:Tier 2 administrator - manage enterprise desktops, laptops, printers, and other user devices, and:

  • Ausschließlich Verwaltung und Steuerung von Assets auf Ebene 2Can only manage and control assets at the Tier 2 level
  • Bei Bedarf Zugriff auf Assets auf allen Ebenen (über den Anmeldetyp „Netzwerk“)Can access assets (via network logon type) at any level as required
  • Ausschließlich interaktives Anmelden bei Assets, die auf der Ebene 2 als vertrauenswürdig eingestuft werdenCan only interactively log on to assets trusted at Tier 2 level

AnmeldeeinschränkungenLogon restrictions

Die Abbildung unten zeigt Anmeldeeinschränkungen:Logon restrictions are shown in the figure below:

Diagramm der Anmeldeeinschränkungen

Hinweis

Beachten Sie, dass einige Assets sich im Umfang von Ebene 0 auf die Verfügbarkeit der Umgebung auswirken können. Die Vertraulichkeit oder Integrität der Assets wird jedoch nicht direkt beeinträchtigt.Note that some assets can have Tier 0 impact to availability of the environment, but do not directly impact the confidentiality or integrity of the assets. Dazu zählen der DNS-Serverdienst sowie wichtige Netzwerkgeräte wie Internetproxys.These include the DNS Server service and critical network devices like Internet proxies.

Prinzip der vertrauenswürdigen QuelleClean source principle

Beim Prinzip der vertrauenswürdigen Quelle müssen alle Sicherheitsabhängigkeiten genauso vertrauenswürdig sein wie das zu sichernde Objekt.The clean source principle requires all security dependencies to be as trustworthy as the object being secured.

Diagramm, das zeigt, dass jedes Subjekt, das ein Objekt kontrolliert, eine Sicherheitsabhängigkeit dieses Objekts ist

Jedes Subjekt, das ein Objekt kontrolliert, ist eine Sicherheitsabhängigkeit dieses Objekts.Any subject in control of an object is a security dependency of that object. Wenn ein Angreifer ein Asset mit effektiver Kontrolle über ein Zielobjekt kontrollieren und steuern kann, so kann er auch dieses Zielobjekt kontrollieren.If an adversary can control anything in effective control of a target object, they can control that target object. Daher müssen Sie sicherstellen, dass die Zusicherungen für alle Sicherheitsabhängigkeiten mindestens der Sicherheitsstufe des Objekts selbst entsprechen.Because of this, you must ensure that the assurances for all security dependencies are at or above the desired security level of the object itself.

Wenngleich dies an sich einfach ist, müssen Sie zur Umsetzung die Kontrollbeziehungen eines Assets (Objekt) kennen und eine Abhängigkeitsanalyse durchführen, um alle Sicherheitsabhängigkeiten (Subjekte) zu ermitteln.While simple in principle, applying this requires understanding the control relationships of an asset of interest (Object) and performing a dependency analysis of it to discover all security dependencies (Subject(s)).

Da es sich um eine transitive Kontrolle handelt, muss dieses Prinzip rekursiv wiederholt werden.Because control is transitive, this principle has to be repeated recursively. Beispiel: Wenn B von A und C von B gesteuert wird, dann steuert A indirekt auch C.For example if A controls B and B controls C, then A also indirectly controls C.

Diagramm, das folgendes Beispiel zeigt: Wenn B von A und C von B gesteuert wird, dann steuert A indirekt auch C

Ein Angreifer, der A gefährdet, erhält Zugriff auf alle Elemente, die A steuert (einschließlich B) sowie alle Elemente, die B steuert (einschließlich C).An attacker that compromises A gets access to everything A controls (including B), and everything B controls (including C). Im Hinblick auf die Sicherheitsabhängigkeiten dieses Beispiels sind sowohl B als auch A Sicherheitsabhängigkeiten von C. Beide müssen folglich die gewünschte Sicherheitsstufe von C aufweisen, damit diese Stufe für C eingehalten wird.Using the language of security dependencies on this same example, both B and A are security dependencies of C and have to be secured at the desired assurance level of C in order for C to have that assurance level.

Bei IT-Infrastrukturen und Identitätssystemen sollte dieses Prinzip auf die meisten gängigen Kontrollmechanismen angewendet werden. Dies umfasst auch die Hardware, auf der Systeme installiert sind, die Installationsmedien für die Systeme, die Architektur und die Konfiguration des Systems sowie tägliche Vorgänge.For IT infrastructure and identity systems, this principle should be applied to the most common means of control including the hardware where systems are installed, the installation media for the systems, the architecture and configuration of the system, and daily operations.

Vertrauenswürdige Quelle für InstallationsmedienClean Source for installation media

Diagramm, das eine vertrauenswürdige Quelle für Installationsmedien zeigt

Um das Prinzip der vertrauenswürdigen Quelle auf Installationsmedien anzuwenden, müssen Sie (so gut wie möglich) sicherstellen, dass das Installationsmedium seit der Freigabe durch den Hersteller nicht manipuliert wurde.Applying the clean source principle to installation media requires you to ensure that the installation media has not been tampered with since being released by the manufacturer (as best you are able to determine). Nachfolgend wird gezeigt, wie ein Angreifer diesen Weg nutzt, um einen Computer zu gefährden:This figure depicts an attacker using this path to compromise a computer:

Die Abbildung zeigt, wie ein Angreifer diesen Weg nutzt, um einen Computer zu gefährden

Um das Prinzip der vertrauenswürdigen Quelle auf Installationsmedien anzuwenden, muss die Softwareintegrität während des gesamten Zyklus seit dem Erwerb überprüft werden (also vom Kauf über die Aufbewahrung und Übermittlung bis hin zur Verwendung).Applying the clean source principle to installation media requires validating the software integrity throughout the cycle you possess it including during acquisition, storage, and transfer up until it is used.

Erwerb der SoftwareSoftware acquisition

Die Quelle der Software sollte über eine der folgenden Methoden überprüft werden:The source of the software should be validated through one of the following means:

  • Software wird auf einem physischen Medium erworben, das vom Hersteller oder einer seriösen Quelle stammt (üblicherweise werden diese Medien von einem Anbieter ausgeliefert).Software is obtained from physical media that is known to come from the manufacturer or a reputable source, typically manufactured media shipped from a vendor.
  • Software wird aus dem Internet bezogen und mit Dateihashes überprüft, die vom Anbieter bereitgestellt werden.Software is obtained from the Internet and validated with vendor-provided file hashes.
  • Software wird aus dem Internet bezogen und durch den Download und Vergleich von zwei unabhängigen Kopien überprüft:Software is obtained from the Internet and validated by downloading and comparing two independent copies:
    • Laden Sie die beiden Kopien auf zwei Hosts ohne Sicherheitsbeziehung herunter (die sich nicht innerhalb derselben Domäne befinden und nicht über dieselben Tools verwaltet werden), vorzugsweise über getrennte Internetverbindungen.Download to two hosts with no security relationship (not in the same domain and not managed by the same tools), preferably from separate Internet connections.
    • Vergleichen Sie die heruntergeladenen Dateien mithilfe eines Hilfsprogramms wie certutil: certutil -hashfile <filename>Compare the downloaded files using a utility like certutil: certutil -hashfile <filename>

Wenn möglich, sollte Anwendungssoftware wie Anwendungsinstallationsprogramme und -tools immer digital signiert und unter Verwendung von Windows Authenticode überprüft werden. Verwenden Sie dabei das Tool Windows Sysinternals, sigcheck.exe, mit Sperrüberprüfung.When possible, all application software, such as application installers and tools should be digitally signed and verified using Windows Authenticode with the Windows Sysinternals tool, sigcheck.exe, with revocation checking. Möglicherweise sind auch Softwareprogramme erforderlich, bei denen der Anbieter diese Art von digitaler Signatur nicht bereitstellt.Some software may be required where the vendor may not provide this type of digital signature.

Speicherung und Übertragung von SoftwareSoftware storage and transfer

Nach dem Kauf der Software sollte die Software an einem Speicherort gespeichert werden, der nicht bearbeitet oder geändert werden kann. Dies gilt insbesondere für mit dem Internet verbundene Hosts oder Mitarbeiter, deren Vertrauensebene niedriger ist als die der Systeme, auf denen die Software oder das Betriebssystem installiert wird.After obtaining the software, it should be stored in a location that is protected from modification, especially by internet-connected hosts or personnel trusted at a lower level than the systems where the software or operating system will be installed. Bei diesem Speicher kann es sich um physische Medien oder einen sicheren elektronischen Speicherort handeln.This storage can be physical media or a secure electronic location.

Verwendung der SoftwareSoftware usage

Die Software sollte idealerweise überprüft werden, wenn sie verwendet wird, also bei der manuellen Installation, beim Verpacken für ein Konfigurationsverwaltungstool oder beim Import in ein Konfigurationsverwaltungstool.Ideally, the software should be validated at the time it is used, such as when it is manually installed, packaged for a configuration management tool, or imported into a configuration management tool.

Vertrauenswürdige Quelle für Architektur und EntwurfClean source for architecture and design

Um das Prinzip der vertrauenswürdigen Quelle auf die Systemarchitektur anzuwenden, müssen Sie sicherstellen, dass das System nicht von Systemen mit niedrigerer Vertrauensebene abhängt.Applying the clean source principle to the system architecture requires you to ensure that the system is not dependent on lower trust systems. Ein System kann von einem System mit höherer Vertrauensebene abhängen, jedoch nicht von einem System mit niedrigerer Vertrauensebene und niedrigeren Sicherheitsstandards.A system can be dependent on a higher trust system, but not on a lower trust system with lower security standards.

Beispiel: Active Directory kann einen standardmäßigen Benutzerdesktop steuern, wenn ein standardmäßiger Benutzerdesktop jedoch eine Active Directory-Implementierung steuern würde, wäre dies eine erhebliche Ausweitung von Berechtigungen, die ein erhöhtes Risiko nach sich ziehen würde.As an example, its acceptable for Active Directory to control a standard user desktop but it's a significant escalation of privilege risk for a standard user desktop to be in control of the Active Directory.

Diagramm, das zeigt, dass ein System von einem System mit höherer Vertrauensebene abhängen kann, jedoch nicht von einem System mit niedrigerer Vertrauensebene und niedrigeren Sicherheitsstandards

Die Kontrollbeziehung kann über verschiedene Methoden definiert werden, u. a. über Zugriffssteuerungslisten für Objekte wie Dateisysteme, über die Mitgliedschaft in der lokalen Administratorengruppe eines Computers oder über Agents, die auf einem als System ausgeführten Computer installiert werden (mit der Möglichkeit, beliebigen Code und beliebige Skripts auszuführen).The control relationship can be introduced through many means including security Access Control Lists (ACLs) on objects like filesystems, membership in the local administrators group on a computer, or agents installed on a computer running as System (with the ability to run arbitrary code and scripts).

Ein häufig übersehenes Beispiel ist die Offenlegung von Informationen bei der Anmeldung. In diesem Fall entsteht eine Kontrollbeziehung, indem die Administratoranmeldeinformationen eines Systems für ein anderes System offengelegt werden.A frequently overlooked example is exposure through logon, which creates a control relationship by exposing administrative credentials of a system to another system. Aus diesem Grund sind Angriffe zum Diebstahl von Anmeldeinformationen (z. B. Pass-the-Hash) so gefährlich.This is the underlying reason why credential theft attacks like pass the hash are so powerful. Wenn ein Administrator sich mit Anmeldeinformationen der Ebene 0 bei einem standardmäßigen Benutzerdesktop anmeldet, werden diese Anmeldeinformationen für den Desktop offengelegt und können damit von AD kontrolliert und gesteuert werden. Die Berechtigungen können also auf AD ausgeweitet werden.When an administrator logs in to a standard user desktop with Tier 0 credentials, they are exposing those credentials to that desktop, putting it in control of AD, and creating an escalation of privilege path to AD. Weitere Informationen zu diesen Angriffen finden Sie auf dieser Seite.For more information on these attacks, see this page.

Aufgrund der großen Anzahl von Assets, die von Identitätssystemen wie Active Directory abhängen, sollten Sie die Anzahl von Systemen minimieren, von denen Ihre Active Directory-Bereitstellung und Ihre Domänencontroller abhängen.Because of the large number of assets that depend on identity systems like Active Directory, you should minimize the number of systems your Active Directory and Domain Controllers depend on.

Diagramm, das zeigt, dass Sie die Anzahl der Systeme minimieren sollten, von denen Ihre Active Directory und Domänencontroller abhängig sind

Weitere Informationen zum Minimieren der wichtigsten Risiken im Zusammenhang mit Active Directory finden Sie auf dieser Seite.For more information on hardening the top risks of active directory, see this page.

Prinzip der vertrauenswürdigen Quelle für betriebliche StandardsOperational standards based on clean source principle

In diesem Abschnitt werden die betrieblichen Standards und Erwartungen für Mitarbeiter mit administrativen Berechtigungen beschrieben.This section describes the operational standards and expectations for administrative personnel. Mithilfe dieser Standards soll die administrative Steuerung der IT-Systeme einer Organisation gegen Risiken geschützt werden, die durch betriebliche Verfahren und Prozesse entstehen könnten.These standards are designed to secure administrative control of an organization's information technology systems against risks that could be created by operational practices and processes.

Diagramm, das zeigt, dass mithilfe dieser Standards die administrative Steuerung der IT-Systeme einer Organisation gegen Risiken geschützt werden soll, die durch betriebliche Verfahren und Prozesse entstehen könnten

Integrieren der StandardsIntegrating the standards

Sie können diese Standards in die allgemeinen Standards und Verfahren Ihrer Organisation integrieren.You can integrate these standards into your organization's overall standards and practices. Dabei können die Standards an die spezifischen Anforderungen, die verfügbaren Tools und die Risikobereitschaft Ihrer Organisation angepasst werden. Um Risiken zu minimieren, sollten diese Standards jedoch so wenig wie möglich geändert werden.You can adapt these to the specific requirements, available tools, and risk appetite of your organization, but we recommend only minimum modifications to reduce risk. Es wird empfohlen, die Standards in diesem Leitfaden als Benchmark für Ihren idealen Endzustand zu verwenden und Deltas als Ausnahmen zu verwalten, die nach Priorität behandelt werden.We recommend you use the defaults in this guidance as the benchmark for your ideal end state and manage any deltas as exceptions to be addressed in priority order.

Der Leitfaden zu Standards gliedert sich in die folgenden drei Abschnitte:The standards guidance is organized into these sections:

  • AnnahmenAssumptions
  • Change Advisory BoardChange Advisory Board
  • BetriebsmethodenOperational Practices
    • ZusammenfassungSummary
    • Standards im DetailStandards Details

AnnahmenAssumptions

Bei den Standards in diesem Abschnitt wird davon ausgegangen, dass die Organisation über folgende Merkmale verfügt:The standards in this section assume that the organization has the following attributes:

  • Die meisten oder alle Server und Arbeitsstationen sind Teil der Active Directory-Implementierung.Most or all servers and workstations in scope are joined to Active Directory.

  • Auf allen zu verwaltenden Servern wird Windows Server 2008 R2 oder eine höhere Version ausgeführt, und der RDP-Modus RestrictedAdmin ist aktiviert.All servers to be managed are running Windows Server 2008 R2 or later and have RDP RestrictedAdmin mode enabled.

  • Auf allen zu verwaltenden Arbeitsstationen wird Windows 7 oder eine höhere Version ausgeführt, und der RDP-Modus RestrictedAdmin ist aktiviert.All workstations to be managed are running Windows 7 or later and have RDP RestrictedAdmin mode enabled.

    Hinweis

    Informationen zum Aktivieren des RDP-Modus RestrictedAdmin finden Sie auf dieser Seite.To enable RDP RestrictedAdmin mode, see this page.

  • Smartcards sind verfügbar und werden für alle Administratorkonten bereitgestellt.Smart cards are available and issued to all administrative accounts.

  • Für jede Domäne wurde Builtin\Administrator als Konto für den Notfallzugriff festgelegt.The Builtin\Administrator for each domain has been designated as an emergency access account

  • Es wurde eine Lösung zur Verwaltung von Unternehmensidentitäten bereitgestellt.An enterprise identity management solution is deployed.

  • Zur Verwaltung des Kennworts des lokalen Administratorkontos wurde LAPS für Server und Arbeitsstationen bereitgestellt.LAPS has been deployed to servers and workstations to manage the local administrator account password

  • Es wurde eine Privileged Access Management-Lösung wie Microsoft Identity Manager bereitgestellt, oder die Einführung einer solchen Lösung ist geplant.There is a privileged access management solution, such as Microsoft Identity Manager, in place, or there is a plan to adopt one.

  • Es wurden Mitarbeiter zugewiesen, um Sicherheitshinweise zu überwachen und auf diese zu reagieren.Personnel are assigned to monitor security alerts and respond to them.

  • Es ist technisch möglich, in kürzester Zeit Microsoft-Sicherheitsupdates anzuwenden.The technical capability to rapidly apply Microsoft security updates is available.

  • Es werden keine Baseboard-Verwaltungscontroller auf Servern verwendet, oder die Sicherheitsmaßnahmen werden strikt eingehalten.Baseboard management controllers on servers will not be used, or will adhere to strict security controls.

  • Administratorkonten und -gruppen für Server (Administratoren der Ebene 1) und Arbeitsstationen (Administratoren der Ebene 2) werden von Domänenadministratoren (Ebene 0) verwaltet.Administrator accounts and groups for servers (Tier 1 admins) and workstations (Tier 2 admins) will be managed by domain admins (Tier 0).

  • Änderungen an Active Directory werden von einem Change Advisory Board (CAB) oder einer anderen benannten Stelle genehmigt.There is a Change Advisory Board (CAB) or another designated authority in place for approving Active Directory changes.

Change Advisory BoardChange advisory board

Ein Change Advisory Board (CAB) ist das Diskussionsforum oder die Genehmigungsstelle für Änderungen, die sich auf das Sicherheitsprofil der Organisation auswirken können.A Change Advisory Board (CAB) is the discussion forum and approval authority for changes that could impact the security profile of the organization. Ausnahmen bezüglich dieser Standards sollten mit einer Risikobewertung und Begründung an das CAB übermittelt werden.Any exceptions to these standards should be submitted to the CAB with a risk assessment and justification.

Die einzelnen Standards in diesem Dokument sind danach untergliedert, wie wichtig die Einhaltung des jeweiligen Standards für eine bestimmte Ebene ist.Each standard in this document is broken out by the criticality of meeting the standard for a given Tier level.

Diagramm des Standards für angegebenen Ebenen

Alle Ausnahmen für erforderliche Elemente (in diesem Dokument mit einem roten Achteck oder orangefarbenen Dreieck gekennzeichnet) werden als vorübergehend betrachtet und müssen vom CAB genehmigt werden.All exceptions for Mandatory items (marked with red octagon or an orange triangle in this document) are considered temporary, and they need to be approved by the CAB. Die Richtlinien umfassen:Guidelines include:

  • Die Begründung und das Risiko der ersten Anforderung müssen vom unmittelbaren Vorgesetzten des Mitarbeiters abgezeichnet werden. Die Anforderung läuft nach sechs Monaten ab.The initial request requires justification risk acceptance signed by personnel's immediate supervisor, and it expires after six months.
  • Bei einer Erneuerung der Anforderung müssen die Begründung und das Risiko vom Leiter der Unternehmenseinheit abgezeichnet werden. Auch hier gilt ein Ablaufzeitraum von sechs Monaten.Renewals require justification and risk acceptance signed by a business unit director, and they expire after six months.

Alle Ausnahmen für empfohlene Elemente (in diesem Dokument mit einem gelben Kreis gekennzeichnet) werden als vorübergehend betrachtet und müssen vom CAB genehmigt werden.All exceptions for Recommended items (marked with a yellow circle in this document) are considered temporary, and need to be approved by the CAB. Die Richtlinien umfassen:Guidelines include:

  • Die Begründung und das Risiko der ersten Anforderung müssen vom unmittelbaren Vorgesetzten des Mitarbeiters abgezeichnet werden. Die Anforderung läuft nach 12 Monaten ab.The initial request requires justification risk acceptance signed by personnel's immediate supervisor, and it expires after 12 months.
  • Bei einer Erneuerung der Anforderung müssen die Begründung und das Risiko vom Leiter der Unternehmenseinheit abgezeichnet werden. Auch hier gilt ein Ablaufzeitraum von 12 Monaten.Renewals require justification and risk acceptance signed by a business unit director, and they expire after 12 months.

Zusammenfassung der Standards für BetriebsmethodenOperational practices standards summary

Die Spalten für die Ebenen in dieser Tabelle beziehen sich auf die Ebene des Administratorkontos, dessen Kontroll- und Steuerungsvorgänge sich üblicherweise auf alle Assets dieser Ebene auswirken.The Tier columns in this table refer to the Tier level of the administrative account, the control of which typically impacts all assets in that tier.

Die Tabelle zeigt die Ebene des Administratorkontos

Entscheidungen bezüglich der Betriebsvorgänge, die regelmäßig getroffen werden, sind entscheidend, um den Sicherheitsstatus der Umgebung aufrechtzuerhalten.Operational decisions that are made on a regular basis are critical to maintaining the security posture of the environment. Diese Standards für Prozesse und Verfahren tragen dazu bei, dass betriebliche Fehler nicht zu einem Sicherheitsrisiko bei den Betriebsvorgängen innerhalb der Umgebung führen, das von einem Angreifer ausgenutzt werden kann.These standards for processes and practices help ensure that an operational error does not lead to an exploitable operational vulnerability in the environment.

Befähigung und Verantwortlichkeit von AdministratorenAdministrator enablement and accountability

Administratoren müssen für eine maximale Sicherheit innerhalb der Umgebung geschult und für ihre Handlungen verantwortlich sein.Administrators must be informed, empowered, trained, and held accountable to operate the environment as securely as possible.

Standards für Mitarbeiter mit administrativen BerechtigungenAdministrative personnel standards

Mitarbeiter mit administrativen Aufgaben müssen überprüft werden, um sicherzustellen, dass sie vertrauenswürdig sind und die Administratorrechte benötigen:Assigned administrative personnel must be vetted to ensure they are trustworthy and have a need for administrative privileges:

  • Führen Sie eine Hintergrundüberprüfung für Mitarbeiter durch, bevor Sie Administratorrechte zuweisen.Perform background checks on personnel prior to assigning administrative privileges.
  • Überprüfen Sie die Administratorrechte einmal pro Quartal, um zu überprüfen, welche Mitarbeiter weiterhin Administratorzugriff benötigen.Review administrative privileges each quarter to determine which personnel still have a legitimate business need for administrative access.
Einweisung und Verantwortlichkeit für administrative SicherheitAdministrative security briefing and accountability

Administratoren müssen über die Risiken der Organisation sowie ihre Rolle beim Umgang mit diesen Risiken informiert und für ihre Handlungen verantwortlich sein.Administrators must be informed and accountable for the risks to the organization and their role in managing that risk. Administratoren sollten jährlich in den folgenden Bereichen geschult werden:Administrators should be trained yearly on:

  • Allgemeine BedrohungslandschaftGeneral threat environment
    • Bestimmte AngreiferDetermined adversaries
    • Angriffstechniken, einschließlich Pass-the-Hash und Diebstahl von AnmeldeinformationenAttack techniques including pass-the-hash and credential theft
  • Organisationsspezifische Bedrohungen und IncidentsOrganization-specific threats and incidents
  • Die Rolle des Administrators beim Schutz gegen AngriffeAdministrator's roles in protecting against attacks
    • Verwalten der Offenlegung von Anmeldeinformationen mit dem EbenenmodellManaging credential exposure with the Tier model
    • Verwenden von administrativen ArbeitsstationenUse of administrative workstations
    • Verwenden des RDP-Modus RestrictedAdminUse of Remote Desktop Protocol RestrictedAdmin mode
  • Organisationsspezifische administrative VerfahrenOrganization-specific administrative practices
    • Überprüfen aller betrieblichen Richtlinien in diesem StandardReview all operational guidelines in this standard
    • Befolgen Sie die folgenden wichtigen Regeln:Implement the following key rules:
      • Verwenden Sie Administratorkonten ausschließlich auf administrativen ArbeitsstationenDo not use administrative accounts on anything but administrative workstations
      • Deaktivieren oder entfernen Sie keinesfalls Sicherheitskontrollen Ihrer Konten oder Arbeitsstationen (z. B. Anmeldeeinschränkungen oder Attribute, die für Smartcards erforderlich sind)Do not disable or dismantle security controls on your account or workstations (for example, logon restrictions or attributes required for smart cards)
      • Melden Sie Probleme oder ungewöhnliche AktivitätReport issues or unusual activity

Um eine eindeutige Verantwortlichkeit sicherzustellen, sollten alle Mitarbeiter mit Administratorkonten ein Dokument mit Verhaltensregeln für Administratorrechte unterzeichnen, das besagt, dass die Mitarbeiter ihre Aufgaben in Übereinstimmung mit organisationsspezifischen Administratorichtlinien ausführen.To provide accountability, all personnel with administrative accounts should sign an Administrative Privilege Code of Conduct document that says they intend to follow organization-specific administrative policy practices.

Verfahren zum Bereitstellen und Aufheben der Bereitstellung für AdministratorkontenProvisioning and deprovisioning processes for administrative accounts

Die folgenden Standards müssen eingehalten werden, um Lebenszyklusanforderungen einzuhalten.The following standards must be met for meeting lifecycle requirements.

  • Alle Administratorkonten müssen von der in der folgenden Tabelle aufgeführten genehmigenden Stelle genehmigt werden.All administrative accounts must be approved by the Approving Authority outlined in the following table.
    • Die Genehmigung darf nur erteilt werden, wenn geschäftliche Gründe dafür vorliegen, dass einem Mitarbeiter Administratorrechte zugewiesen werden.Approval must only be granted if the personnel have a legitimate business need for administrative privileges.
    • Die Genehmigung für Administratorrechte darf für maximal sechs Monate erteilt werden.Approval for administrative privileges should not exceed six months.
  • In den folgenden Fällen müssen die Administratorrechte umgehend entfernt werden:Access to administrative privileges must be immediately deprovisioned when:
    • Mitarbeiter übernehmen eine neue Position.Personnel change positions.
    • Mitarbeiter verlassen die Organisation.Personnel leave the organization.
  • Wenn Mitarbeiter die Organisation verlassen, müssen die Konten umgehend deaktiviert werden.Accounts must be immediately disabled following personnel leaving the organization.
  • Deaktivierte Konten müssen innerhalb von sechs Monaten gelöscht werden, und der Nachweis über den Löschvorgang muss in den Daten des Change Approval Boards erfasst werden.Disabled accounts must be deleted within six months and the record of their deletion must be entered into change approval board records.
  • Überprüfen Sie einmal pro Monat die Mitgliedschaft aller privilegierten Konten, um sicherzustellen, dass nicht autorisierten Benutzern keine Berechtigungen erteilt wurden.Review all privileged account memberships monthly to ensure that no unauthorized permissions have been granted. Stattdessen kann ein automatisiertes Tool eingesetzt werden, dass bei Änderungen eine Benachrichtigung sendet.This can be replaced by an automated tool that alerts changes.
Ebene der KontoberechtigungAccount Privilege Level Genehmigende StelleApproving Authority Häufigkeit der Überprüfung von MitgliedschaftenMembership Review Frequency
Administrator der Ebene 0Tier 0 Administrator Change Approval BoardChange approval board Monatlich oder automatisiertMonthly or automated
Administrator der Ebene 1Tier 1 Administrator Administratoren der Ebene 0 oder SicherheitTier 0 administrators or security Monatlich oder automatisiertMonthly or automated
Administrator der Ebene 2Tier 2 Administrator Administratoren der Ebene 0 oder SicherheitTier 0 administrators or security Monatlich oder automatisiertMonthly or automated

Operationalisieren der geringsten RechteOperationalize least privilege

Mit diesen Standards werden die jeweils geringsten Rechte implementiert, sodass die Anzahl von Administratoren sowie die Zeitdauer reduziert wird, während der die Administratoren über die Rechte verfügen.These standards help achieve least privilege by reducing the number of administrators in role and the amount of time that they have privileges.

Hinweis

Um in Ihrer Organisation die jeweils geringsten Rechte zuzuweisen, müssen Sie mit Organisationsrollen, ihren Anforderungen und den Entwurfsmechanismen vertraut sein, um sicherzustellen, dass die Aufgaben dieser Rollen mit den jeweils geringsten Rechten ausgeführt werden.Achieving least privilege in your organization will require understanding the organizational roles, their requirements, and their designing mechanisms to ensure that they are able to accomplish their job by using least privilege. Um in einem administrativen Modell die jeweils geringsten Rechte zu nutzen, sind häufig mehrere Ansätze erforderlich:Achieving a state of least privilege in an administrative model frequently requires the use of multiple approaches:

  • Beschränken Sie die Anzahl von Administratoren oder Mitgliedern privilegierter GruppenLimit the count of administrators or members of privileged groups
  • Delegieren Sie weniger Berechtigungen an KontenDelegate fewer privileges to accounts
  • Stellen Sie nach Bedarf zeitgebundene Berechtigungen bereitProvide time-bound privileges on demand
  • Ermöglichen Sie anderen Mitarbeitern das Ausführen von Aufgaben (Concierge-Ansatz)Provide ability for other personnel to perform tasks (a concierge approach)
  • Implementieren Sie Prozesse für den Notfallzugriff und seltene SzenarienProvide processes for emergency access and rare-use scenarios
Einschränken der Anzahl von AdministratorenLimit count of administrators

Um Geschäftskontinuität sicherzustellen, sollten jeder Administratorrolle mindestens zwei Mitarbeiter zugewiesen werden.A minimum of two qualified personnel should be assigned to each administrative role to ensure business continuity.

Wenn einer Rolle mehr als zwei Mitarbeiter zugewiesen werden, muss das Change Approval Board die spezifischen Gründe für das Zuweisen von Rechten zu den einzelnen Mitgliedern (einschließlich der zwei ursprünglichen Mitarbeiter) genehmigen.If the number of personnel assigned to any role exceeds two, the change approval board must approve the specific reasons for assigning privileges to each individual member (including the original two). Die Gründe für die Genehmigung müssen Folgendes umfassen:The justification for the approval must include:

  • Die technischen Aufgaben, die von den Administratoren ausgeführt werden und für die die Administratorrechte erforderlich sindWhat technical tasks are performed by the administrators that require the administrative privileges
  • Die Häufigkeit, mit der die Aufgaben ausgeführt werdenHow often are the tasks performed
  • Besondere Gründe, weshalb die Aufgaben nicht von einem anderen Administrator im Namen der Benutzer ausgeführt werden könnenSpecific reason why the tasks cannot be performed by another administrator on their behalf
  • Dokumentation aller bekannten Alternativen, um das Recht zu erteilen, sowie eine Erklärung, weshalb diese Alternativen nicht umsetzbar sindDocument all other known alternative approaches to granting the privilege and why each isn't acceptable
Dynamisches Zuweisen von BerechtigungenDynamically assign privileges

Administratoren müssen Berechtigungen rechtzeitig („Just-In-Time“) erhalten, um ihre Aufgaben auszuführen.Administrators are required to obtain permissions "just-in-time" to use them as they perform tasks. Berechtigungen werden Administratorkonten nie dauerhaft zugewiesen.No permissions will be permanently assigned to administrative accounts.

Hinweis

Mit dauerhaft zugewiesenen Administratorrechten wird eine Strategie der höchsten Rechte verfolgt, da administrative Mitarbeiter einen schnellen Zugriff auf Berechtigungen benötigen, um bei Problemen einen unterbrechungsfreien Betrieb sicherzustellen.Permanently assigned administrative privileges naturally create a "most privilege" strategy because administrative personnel require rapid access to permissions to maintain operational availability if there is an issue. Just-in-Time-Berechtigungen ermöglichen Folgendes:Just-in-time permissions provide the ability to:

  • Granulare Zuweisung von Berechtigungen, um dem Ansatz der geringsten Rechte näher zu kommenAssign permissions more granularly, getting closer to least privilege.
  • Geringere Dauer der Offenlegung von RechtenReduce the exposure time of privileges
  • Nachverfolgen der Verwendung von Berechtigungen, um einen Missbrauch oder Angriffe zu ermittelnTracking permissions use to detect abuse or attacks.

Mindern des Risikos einer Offenlegung von AnmeldeinformationenManage Risk of Credential Exposure

Wirken Sie dem Risiko einer Offenlegung von Anmeldeinformationen mithilfe der folgenden Maßnahmen entgegen.Use the following practices to proper manage risk of credential exposure.

Trennen von AdministratorkontenSeparate administrative accounts

Alle Mitarbeiter, die über Administratorrechte verfügen dürfen, müssen über separate Konten für administrative Funktionen verfügen, die nicht mit ihren Benutzerkonten identisch sind.All personnel that are authorized to possess administrative privileges must have separate accounts for administrative functions that are distinct from user accounts.

  • Standardbenutzerkonten: Erteilen Sie Standardbenutzerrechte für standardmäßige Benutzeraufgaben, z. B. für E-Mail-, Webbrowsing- und Branchenanwendungen.Standard user accounts - Granted standard user privileges for standard user tasks, such as email, web browsing, and using line-of-business applications. Diesen Konten sollten keine Administratorrechte erteilt werden.These accounts should not be granted administrative privileges.
  • Administratorkonten: Separate Konten für Mitarbeiter, denen die entsprechenden Administratorrechte zugewiesen werden.Administrative accounts - Separate accounts created for personnel who are assigned the appropriate administrative privileges. Ein Administrator, der Assets auf allen Ebenen verwalten muss, sollte über ein separates Konto für jede Ebene verfügen.An administrator who is required to manage assets in each Tier should have a separate account for each Tier. Diese Konten sollten nicht über Zugriff auf E-Mails oder das öffentliche Internet verfügen.These accounts should have no access to email or the public Internet.
Verfahren für die AdministratoranmeldungAdministrator logon practices

Bevor ein Administrator sich interaktiv bei einem Host anmelden kann (lokal über Standard-RDP, unter Verwendung von RunAs oder über die Virtualisierungskonsole), muss der Host mindestens den Standard für die Ebene des Administratorkontos (oder einer höheren Ebene) erfüllen.Before an administrator can log on to a host interactively (locally over standard RDP, by using RunAs, or by using the virtualization console), that host must meet or exceed the standard for the admin account Tier (or a higher Tier).

Administratoren können sich nur mit ihren Administratorkonten bei Administratorarbeitsstationen anmelden.Administrators can only sign in to admin workstations with their administrative accounts. Administratoren können sich nur bei Verwendung der genehmigten Supporttechnologie (siehe nächster Abschnitt) bei verwalteten Ressourcen anmelden.Administrators only log on to managed resources by using the approved support technology described in the next section.

Hinweis

Der Grund für diese Anforderung ist, dass beim Anmelden an einem Host interaktiv Kontrolle über die Anmeldeinformationen für diesen Host gewährt wird.This is required because logging onto a host interactively grants control of the credentials to that host.

Einzelheiten zu Anmeldetypen, zu gängigen Verwaltungstools und zur Offenlegung von Anmeldeinformationen finden Sie unter Verwaltungstools und Anmeldeinformationen.See the Administrative Tools and Logon Types for details about logon types, common management tools, and credential exposure.

Verwenden genehmigter Supporttechnologien und -methodenUse of approved support technology and methods

Administratoren, die Support für Remotesysteme und -benutzer bieten, müssen die folgenden Richtlinien befolgen, um zu verhindern, dass ein Angreifer, der die Kontrolle über den Remotecomputer hat, die Anmeldeinformationen des Administrators stiehlt.Administrators who support remote systems and users must follow these guidelines to prevent an adversary in control of the remote computer from stealing their administrative credentials.

  • Sofern verfügbar, sollten die primären Supportoptionen verwendet werden.The primary support options should be used if they are available.
  • Die sekundären Supportoptionen sollten nur verwendet werden, wenn die primäre Supportoption nicht verfügbar ist.The secondary support options should only be used if the primary support option is not available.
  • Nicht zulässige Supportmethoden dürfen niemals verwendet werden.Forbidden support methods may never be used.
  • Über ein Administratorkonto darf zu keinem Zeitpunkt das Internet durchsucht oder auf E-Mails zugegriffen werden.No internet browsing or email access may be performed by any administrative account at any time.
Verwalten von Gesamtstrukturen, Domänen und Domänencontrollern der Ebene 0Tier 0 forest, domain, and DC administration

Stellen Sie sicher, dass für dieses Szenario die folgenden Verfahren verwendet werden:Ensure that the following practices are applied for this scenario:

  • Remoteserversupport: Beim Remotezugriff auf einen Server müssen Administratoren der Ebene 0 die folgenden Richtlinien befolgen:Remote server support - When remotely accessing a server, Tier 0 administrators must follow these guidelines:

    • Primär (Tool) : Remotetools, die Netzwerkanmeldungen verwenden (Typ 3).Primary (tool) - Remote tools that use network logons (type 3). Weitere Informationen finden Sie unter Verwaltungstools und Anmeldetypen.For more information, see Administrative Tools and Logon Types.

    • Primär (interaktiv) : Verwenden Sie den RDP-Modus RestrictedAdmin oder eine RDP-Standardsitzung auf einer Administratorarbeitsstation mit DomänenkontoPrimary (interactive) - Use RDP RestrictedAdmin or a Standard RDP Session from an admin workstation with a domain account

      Hinweis

      Wenn Sie über eine Rechteverwaltungslösung der Ebene 0 verfügen, fügen Sie Folgendes hinzu: Verwendung von Just-in-Time-Berechtigungen von einer Privileged Access Management-Lösung.If you have a Tier 0 privilege management solution, add "that uses permissions obtained just-in-time from a privileged access management solution."

  • Physischer Serversupport: Bei physischer Präsenz an einer Server- oder VM-Konsole (Hyper-V oder VMware Tools) gelten für diese Konten keine bestimmten Einschränkungen bezüglich der Nutzung von Verwaltungstools. Es gelten lediglich die allgemeinen Einschränkungen für standardmäßige Benutzeraufgaben wie der Zugriff auf E-Mails und das Durchsuchen des Internets.Physical server support - When physically present at a server console or at a virtual machine console (Hyper-V or VMWare tools), these accounts have no specific administrative tool usage restrictions, only the general restrictions from standard user tasks like email and browsing the open internet.

    Hinweis

    Die Verwaltung der Ebene 0 unterscheidet sich von der Verwaltung der anderen Ebenen, da alle Assets der Ebene 0 bereits über direkte oder indirekte Kontrolle aller Assets verfügen.Tier 0 administration is different from administration of other tiers because all Tier 0 assets already have direct or indirect control of all assets. Beispiel: Ein Angreifer, der die Kontrolle über einen Domänencontroller hat, muss keine Anmeldeinformationen von angemeldeten Administratoren stehlen, da er bereits auf alle Domänenanmeldeinformationen in der Datenbank zugreifen kann.As an example, an attacker in control of a DC has no need to steal credentials from logged on administrators as they already have access to all domain credentials in the database.

Support für Server und Unternehmensanwendungen der Ebene 1Tier 1 server and enterprise application support

Stellen Sie sicher, dass für dieses Szenario die folgenden Verfahren verwendet werden:Ensure that the following practices are applied for this scenario:

  • Remoteserversupport: Beim Remotezugriff auf einen Server müssen Administratoren der Ebene 1 die folgenden Richtlinien befolgen:Remote server support - When remotely accessing a server, Tier 1 administrators must follow these guidelines:
    • Primär (Tool) : Remotetools, die Netzwerkanmeldungen verwenden (Typ 3).Primary (tool) - Remote tools that use network logons (type 3). Weitere Informationen finden Sie auf Seite 42-47 unter Mitigating Pass-the-Hash and Other Credential Theft v1 (Verhindern von Pass-the-Hash-Angriffen und anderen Angriffen zum Diebstahl von Anmeldeinformationen).For more information, see Mitigating Pass-the-Hash and Other Credential Theft v1 (pp 42-47).
    • Primär (interaktiv) : Verwenden Sie den RDP-Modus RestrictedAdmin auf einer Administratorarbeitsstation mit Domänenkonto, das Just-in-Time-Berechtigungen von einer Privileged Access Management-Lösung erhalten hat.Primary (interactive) - Use RDP RestrictedAdmin from an admin workstation with a domain account that uses permissions obtained just-in-time from a privileged access management solution.
    • Sekundär: Melden Sie sich unter Verwendung eines lokalen Kontokennworts beim Server an, das von LAPS auf einer Administratorarbeitsstation festgelegt wird.Secondary - Log on to the server by using a local account password that is set by LAPS from an admin workstation.
    • Nicht zulässig: Standard-RDP darf nicht mit einem Domänenkonto verwendet werden.Forbidden - Standard RDP may not be used with a domain account.
    • Nicht zulässig: Verwenden der Anmeldeinformationen des Domänenkontos während der Sitzung (z. B. die Verwendung von RunAs oder die Authentifizierung gegenüber einer Freigabe).Forbidden - Using the domain account credentials while in the session (for example, using RunAs or authenticating to a share). Dabei besteht das Risiko eines Diebstahls der Anmeldeinformationen.This exposes the logon credentials to the risk of theft.
  • Physischer Serversupport: Bei physischer Präsenz an einer Server- oder VM-Konsole (Hyper-V oder VMware Tools) müssen Administratoren der Ebene 1 das lokale Kontokennwort vor dem Zugriff auf den Server von LAPS abrufen.Physical server support - When physically present at a server console or at a virtual machine console (Hyper-V or VMWare tools), Tier 1 administrators must retrieve the local account password from LAPS prior to accessing the server.
    • Primär: Rufen Sie das von LAPS festgelegte lokale Kontokennwort von einer Administratorarbeitsstation ab, bevor Sie sich beim Server anmelden.Primary - Retrieve the local account password set by LAPS from an admin workstation before logging on to the server.
    • Nicht zulässig: Die Anmeldung über ein Domänenkonto ist in diesem Szenario nicht zulässig.Forbidden - Logging on with a domain account is not allowed in this scenario.
    • Nicht zulässig: Verwenden der Anmeldeinformationen des Domänenkontos während der Sitzung (z. B. die Verwendung von RunAs oder die Authentifizierung gegenüber einer Freigabe).Forbidden - Using the domain account credentials while in the session (for example, RunAs or authenticating to a share). Dabei besteht das Risiko eines Diebstahls der Anmeldeinformationen.This exposes the logon credentials to the risk of theft.
Helpdesk- und Benutzersupport der Ebene 2Tier 2 help desk and user support

Helpdesk- und Benutzersupportorganisationen bieten Support für Endbenutzer (keine Administratorrechte erforderlich) und die Arbeitsstationen der Benutzer (Administratorrechte erforderlich).Help Desk and user support organizations perform support for end users (which doesn't require administrative privileges) and the user workstations (which does require administrative privileges).

Benutzersupport: Unterstützung der Benutzer beim Durchführen von Aufgaben, bei denen keine Änderungen an der Arbeitsstation erforderlich sind. Häufig wird den Benutzern dabei gezeigt, wie sie ein Anwendungs- oder Betriebssystemfeature verwenden.User support - Tasks include assisting users with performing tasks that require no modification to the workstation, frequently showing them how to use an application feature or operating system feature.

  • Deskseitiger Benutzersupport: Supportmitarbeiter der Ebene 2 sind physisch am Arbeitsplatz des Benutzers präsent.Desk-side user support - The Tier 2 support personnel is physically at the user's workspace.
    • Primär: Für Support, der vor Ort „über die Schulter“ bereitgestellt wird, sind möglicherweise keine Tools erforderlich.Primary - "Over the shoulder" support can be provided with no tools.
    • Nicht zulässig: Die Anmeldung über die Administratoranmeldeinformationen eines Domänenkontos ist in diesem Szenario nicht zulässig.Forbidden - Logging on with domain account administrative credentials is not allowed in this scenario. Wenn Administratorrechte erforderlich sind, wählen Sie den deskseitigen Support für Arbeitsstationen.Switch to desk-side workstation support if administrative privileges are required.
  • Remotebenutzersupport: Supportmitarbeiter der Ebene 2 unterstützen den Benutzer von einem Remotestandort aus.Remote user support - The Tier 2 support personnel is physically remote to the user.
    • Primär: Remoteunterstützung, Skype for Business oder ähnliche Tools zur Freigabe des Benutzerbildschirms können verwendet werden.Primary - Remote Assistance, Skype for Business, or similar user-screen sharing may be used. Weitere Informationen finden Sie unter What is Windows Remote Assistance? (Was ist die Windows-Remoteunterstützung?)For more information, see What is Windows Remote Assistance?
    • Nicht zulässig: Die Anmeldung über die Administratoranmeldeinformationen eines Domänenkontos ist in diesem Szenario nicht zulässig.Forbidden - Logging on with domain account administrative credentials is not allowed in this scenario. Wenn Administratorrechte erforderlich sind, wählen Sie den Support für Arbeitsstationen.Switch to workstation support if administrative privileges are required.
  • Support für Arbeitsstationen: Die Aufgaben umfassen die Wartung von Arbeitsstationen oder eine Problembehandlung, für die Zugriff auf ein System erforderlich ist, um Protokolle anzuzeigen, Software zu installieren, Treiber zu aktualisieren usw.Workstation support - Tasks include performing workstation maintenance or troubleshooting that requires access to a system for viewing logs, installing software, updating drivers, and so on.
    • Deskseitiger Support für Arbeitsstationen: Supportmitarbeiter der Ebene 2 sind physisch an der Arbeitsstation des Benutzers präsent.Desk-side workstation support - The Tier 2 support personnel is physically at the user's workstation.
      • Primär: Rufen Sie das von LAPS festgelegte lokale Kontokennwort von einer Administratorarbeitsstation ab, bevor Sie eine Verbindung mit der Arbeitsstation eines Benutzers herstellen.Primary - Retrieve the local account password set by LAPS from an admin workstation before connecting to user workstation.
      • Nicht zulässig: Die Anmeldung über die Administratoranmeldeinformationen eines Domänenkontos ist in diesem Szenario nicht zulässig.Forbidden - Logging on with domain account administrative credentials is not allowed in this scenario.
    • Remotesupport für Arbeitsstationen: Supportmitarbeiter der Ebene 2 unterstützen den Benutzer von einem Remotestandort aus.Remote workstation support - The Tier 2 support personnel is physically remote to the workstation.
      • Primär: Verwenden Sie den RDP-Modus RestrictedAdmin auf einer Administratorarbeitsstation mit Domänenkonto, das Just-in-Time-Berechtigungen von einer Privileged Access Management-Lösung erhalten hat.Primary - Use RDP RestrictedAdmin from an admin workstation with a domain account that uses permissions obtained just-in-time from a privileged access management solution.
      • Sekundär: Rufen Sie ein von LAPS festgelegtes lokales Kontokennwort von einer Administratorarbeitsstation ab, bevor Sie eine Verbindung mit der Arbeitsstation eines Benutzers herstellen.Secondary - Retrieve a local account password set by LAPS from an admin workstation before connecting to user workstation.
      • Nicht zulässig: Verwenden von Standard-RDP mit einem Domänenkonto.Forbidden - Use standard RDP with a domain account.
Kein Browsen im öffentlichen Internet über Administratorkonten oder auf AdministratorarbeitsstationenNo browsing the public Internet with admin accounts or from admin workstations

Administrative Mitarbeiter dürfen nicht im öffentlichen Internet browsen, während sie mit einem Administratorkonto oder bei einer Administratorarbeitsstation angemeldet sind.Administrative personnel cannot browse the open Internet while logged on with an administrative account or while logged on to an administrative workstation. Die einzige genehmigte Ausnahme ist die Verwendung eines Webbrowsers zum Verwalten eines cloudbasierten Diensts.The only authorized exceptions are the use of a web browser to administer a cloud-based service.

Kein Zugriff auf E-Mails über Administratorkonten oder auf AdministratorarbeitsstationenNo accessing email with admin accounts or from admin workstations

Administrative Mitarbeiter dürfen nicht auf E-Mails zugreifen, während sie mit einem Administratorkonto oder bei einer Administratorarbeitsstation angemeldet sind.Administrative personnel cannot access email while logged on with an administrative account or while logged on to an administrative workstation.

Speichern von Kennwörtern für Dienst- oder Anwendungskonten an einem sicheren SpeicherortStore service and application account passwords in a secure location

Die folgenden Richtlinien sollten für die physischen Sicherheitsverfahren befolgt werden, mit denen der Zugriff auf das Kennwort gesteuert wird:The following guidelines should be used for the physical security processes that control access to the password:

  • Bewahren Sie Kennwörter für Dienstkonten in einem Safe auf.Lock the service account passwords in a physical safe.
  • Stellen Sie sicher, dass nur Mitarbeiter, die mindestens über die Vertrauensebene der Kontoebene verfügen, auf das Kontokennwort zugreifen können.Ensure that only personnel trusted at or above the Tier classification of the account have access to the account password.
  • Für nachvollziehbare Verantwortlichkeiten schränken Sie die Anzahl von Benutzern, die auf die Kennwörter zugreifen, auf ein Minimum ein.Limit the number of people who access to the passwords to a minimum number to for accountability.
  • Stellen Sie sicher, dass jeder Zugriff auf das Kennwort von einer unbeteiligten Partei (z. B. ein Vorgesetzter, der nicht im Bereich der IT-Administration geschult wurde) protokolliert, nachverfolgt und überwacht wird.Ensure that all access to the password is logged, tracked, and monitored by a disinterested party, such as a manager who is not trained to perform IT administration.
Strenge AuthentifizierungStrong Authentication

Nutzen Sie die folgenden Verfahren für eine ordnungsgemäße Konfiguration der strengen Authentifizierung.Use the following practices to proper configure strong authentication.

Erzwingen Sie die mehrstufige Smartcard-Authentifizierung für alle AdministratorkontenEnforce smartcard multi-factor authentication (MFA) for all admin accounts

Administratorkonten dürfen keine Kennwörter für die Authentifizierung verwenden.No administrative account is allowed to use a password for authentication. Die einzigen autorisierten Ausnahmen sind die Konten für den Notfallzugriff, die über die geeigneten Prozesse geschützt werden.The only authorized exceptions are the emergency access accounts that are protected by the appropriate processes.

Verknüpfen Sie alle Administratorkonten mit einer Smartcard, und aktivieren Sie das Attribut Benutzer muss sich mit einer Smartcard anmelden.Link all administrative accounts to a smart card and enable the attribute "Smart Card Required for Interactive Logon."

Implementieren Sie ein Skript, um den zufälligen Kennworthashwert automatisch und regelmäßig zurückzusetzen. Dazu muss das Attribut Benutzer muss sich mit einer Smartcard anmelden deaktiviert und umgehend erneut aktiviert werden.A script should be implemented to automatically and periodically reset the random password hash value by disabling and immediately re-enabling the attribute "Smart Card Required for Interactive Logon."

Lassen Sie mit Ausnahme der Konten für den Notfallzugriff keine weiteren Ausnahmen für Konten zu, die von Mitarbeitern verwendet werden.Allow no exceptions for accounts used by human personnel beyond the emergency access accounts.

Erzwingen der mehrstufigen Authentifizierung für alle CloudadministratorkontenEnforce Multi-Factor Authentication for All Cloud Admin Accounts

Alle Konten mit Administratorrechten in einem Clouddienst (z. B. Microsoft Azure und Office 365) müssen die mehrstufige Authentifizierung verwenden.All accounts with administrative privileges in a cloud service, such as Microsoft Azure and Office 365, must use multi-factor authentication.

Selten erforderliche NotfallmaßnahmenRare Use emergency procedures

Bei Betriebsmethoden müssen die folgenden Standards eingehalten werden:Operational practices must support the following standards:

  • Stellen Sie sicher, dass Ausfälle schnell behoben werden können.Ensure outages can be resolved quickly.
  • Stellen Sie sicher, dass seltene Aufgaben, für die hohe Rechte erforderlich sind, abgeschlossen werden können.Ensure rare high-privilege tasks can be completed as needed.
  • Stellen Sie sicher, dass sichere Verfahren verwendet werden, um die Anmeldeinformationen und Berechtigungen zu schützen.Ensure safe procedures are used to protect the credentials and privileges.
  • Stellen Sie sicher, dass geeignete Verfahren für Nachverfolgung und Genehmigung implementiert sind.Ensure appropriate tracking and approval processes are followed.
Ordnungsgemäße Implementierung der geeigneten Verfahren für alle NotfallzugriffskontenCorrectly follow appropriate processes for all emergency access accounts

Stellen Sie sicher, dass für jedes Notfallzugriffskonto ein Dokument zur Nachverfolgung im Safe hinterlegt ist.Ensure that each emergency access account has a tracking sheet in the safe.

Das in diesem Dokument aufgezeichnete Verfahren sollte für sämtliche Konten befolgt werden. Beispielsweise sollte das Kennwort nach jeder Verwendung und Abmeldung bei Arbeitsstationen oder Servern geändert werden.The procedure documented on the password tracking sheet should be followed for each account, which includes changing the password after each use and logging out of any workstations or servers used after completion.

Die Verwendung von Konten für den Notfallzugriff sollte immer vorab vom Change Approval Board genehmigt werden bzw. ggf. nachträglich als genehmigte Notfallverwendung.All use of emergency access accounts should be approved by the change approval board in advanced or after-the-fact as an approved emergency usage.

Einschränken und Überwachen der Verwendung von NotfallzugriffskontenRestrict and monitor usage of emergency access accounts

Für jede Verwendung von Notfallzugriffskonten gilt Folgendes:For all use of emergency access accounts:

  • Nur autorisierte Domänenadministratoren können auf die Notfallzugriffskonten mit Domänenadministratorberechtigungen zugreifen.Only authorized domain admins can access the emergency access accounts with domain admin privileges.

  • Die Notfallzugriffskonten können nur auf Domänencontrollern und anderen Hosts der Ebene 0 verwendet werden.The emergency access accounts can be used only on domain controllers and other Tier 0 hosts.

  • Dieses Konto sollte ausschließlich für folgende Zwecke verwendet werden:This account should be used only to:

    • Problembehandlung und Behebung technischer Probleme, die eine Verwendung der richtigen Administratorkonten verhindern.Perform troubleshooting and correction of technical issues that are preventing the use of the correct administrative accounts.
    • Durchführen seltener Aufgaben, wie z. B.:Perform rare tasks, such as:
      • SchemaverwaltungSchema administration

      • Aufgaben, die die Gesamtstruktur betreffen und Administratorrechte auf Unternehmensebene erfordernForest-wide tasks that require enterprise administrative privileges

        Hinweis

        Die Topologieverwaltung, einschließlich der Verwaltung von Active Directory-Standorten und -Subnetzen, wird delegiert, um die Nutzung dieser Rechte einzuschränken.Topology management including Active Directory site and subnet management is delegated to limit the use of these privileges.

  • Für jede Verwendung dieser Konten sollte eine schriftliche Genehmigung vom Leiter der Sicherheitsgruppe vorliegenAll usage of one of these accounts should have written authorization by the security group lead

  • Das im Dokument zur Nachverfolgung für jedes Notfallzugriffskonto festgelegte Verfahren sieht vor, dass das Kennwort nach jeder Verwendung geändert wird.The procedure on the tracking sheet for each emergency access account requires the password to be changed for each use. Ein Mitglied des Sicherheitsteams sollte überprüfen, ob dieser Schritt ordnungsgemäß ausgeführt wurde.A security team member should validate that this happened correctly.

Vorübergehendes Zuweisen der Mitgliedschaft als Unternehmens- oder SchemaadministratorTemporarily assign enterprise admin and schema admin membership

Die Berechtigungen sollten nach Bedarf hinzugefügt und nach der Verwendung entfernt werden.Privileges should be added as needed and removed after use. Diese Berechtigungen sollten Notfallzugriffskonten nur solange zugewiesen werden, bis die Aufgabe abgeschlossen ist. Die maximale Zeitdauer sollte 10 Stunden betragen.The emergency account should have these privileges assigned for only the duration of the task to be completed, and for a maximum of 10 hours. Die gesamte Verwendung dieser Berechtigungen sowie die Dauer sollten nach Abschluss der Aufgabe in den Aufzeichnungen des Change Approval Boards erfasst werden.All usage and duration of these privileges should be captured in the change approval board record after the task is completed.

ESAE-basierter Ansatz für den Entwurf einer administrativen GesamtstrukturESAE Administrative Forest Design Approach

In diesem Abschnitt wird ein Ansatz für den Entwurf einer administrativen Gesamtstruktur beschrieben, die auf der ESAE-Referenzarchitektur (Enhanced Security Administrative Environment) basiert. Diese wird von Microsoft-Dienstleistungsteams für Internetsicherheit bereitgestellt, um Kunden vor Angriffen im Internet zu schützen.This section contains an approach for an administrative forest based on the Enhanced Security Administrative Environment (ESAE) reference architecture deployed by Microsoft's cybersecurity professional services teams to protect customers against cybersecurity attacks.

Mit einer dedizierten administrativen Gesamtstruktur sind Organisationen in der Lage, Administratorkonten, Arbeitsstationen und Gruppen zu hosten. Dabei weist die Umgebung stärkere Sicherheitskontrollen auf als die Produktionsumgebung.Dedicated administrative forests allow organizations to host administrative accounts, workstations, and groups in an environment that has stronger security controls than the production environment.

Diese Architektur ermöglicht eine Reihe von Sicherheitskontrollen, die in einer Architektur mit einer einzelnen Gesamtstruktur nicht möglich oder nicht einfach zu konfigurieren sind. Dies gilt sogar für Gesamtstrukturen, die über Arbeitsstationen mit privilegiertem Zugriff verwaltet werden.This architecture enables a number of security controls that aren't possible or easily configured in a single forest architecture, even one managed with Privileged Access Workstations (PAWs). Dieser Ansatz ermöglicht die Bereitstellung von Konten als Standardbenutzer ohne erweiterte Berechtigungen in der administrativen Gesamtstruktur, die in der Produktionsumgebung über weitgehende Berechtigungen verfügen, und somit eine umfassende technische Erzwingung von Governance.This approach allows the provisioning of accounts as standard non-privileged users in the administrative forest that are highly privileged in the production environment, enabling greater technical enforcement of governance. Zudem ermöglicht diese Architektur die Verwendung der ausgewählten Authentifizierung von Vertrauensstellungen zum Einschränken von Anmeldungen (und Offenlegen der Anmeldeinformationen) auf autorisierte Hosts.This architecture also enables the use of the selective authentication feature of a trust as a means to restrict logons (and credential exposure) to only authorized hosts. In Situationen, in denen eine umfassendere Sicherung für die Produktionsgesamtstruktur ohne die Kosten und Komplexität einer vollständigen Wiederherstellung erwünscht ist, kann eine administrative Gesamtstruktur eine Umgebung bereitstellen, in der für das Produktionsumfeld eine höhere Sicherheitsstufe gilt.In situations in which a greater level of assurance is desired for the production forest without incurring the cost and complexity of a complete rebuild, an administrative forest can provide an environment that increases the assurance level of the production environment.

Wenngleich bei diesem Ansatz eine Gesamtstruktur zu einer Active Directory-Umgebung hinzugefügt wird, sind die Kosten und die Komplexität aufgrund des festen Aufbaus, der geringen Hardware- und Softwareanforderungen und der geringen Anzahl von Benutzern gering.While this approach does add a forest to an Active Directory environment, the cost and complexity are limited by the fixed design, small hardware/software footprint, and small number of users.

Hinweis

Dieser Ansatz eignet sich gut für die Verwaltung von Active Directory, viele Anwendungen können jedoch nicht über Konten aus einer externen Gesamtstruktur verwaltet werden, die eine Standardvertrauensstellung verwendet.This approach works well for administering Active Directory, but many applications aren't compatible with being administered by accounts from an external forest using a standard trust.

Diese Abbildung zeigt eine ESAE-Gesamtstruktur, die zur Verwaltung von Assets der Ebene 0 verwendet wird, sowie eine PRIV-Gesamtstruktur, die für die Verwendung mit der Privileged Access Management-Funktion von Microsoft Identity Manager konfiguriert ist.This figure depicts an ESAE forest used for administration of Tier 0 Assets and a PRIV forest configured for use with Microsoft Identity Manager's Privileged Access Management capability. Weitere Informationen zur Bereitstellung einer Instanz von MIM PAM finden Sie im Artikel Privileged Identity Management für Active Directory Domain Services (AD DS).For more information on deploying a MIM PAM instance, see Privileged Identity Management for Active Directory Domain Services (AD DS) article.

Diese Abbildung zeigt eine ESAE-Gesamtstruktur, die zur Verwaltung von Assets der Ebene 0 verwendet wird, sowie eine PRIV-Gesamtstruktur, die für die Verwendung mit der Privileged Access Management-Funktion von Microsoft Identity Manager konfiguriert ist

Eine dedizierte administrative Gesamtstruktur ist eine Active Directory-Standardgesamtstruktur mit einer einzelnen Domäne, die ausschließlich der Active Directory-Verwaltung dient.A dedicated administrative forest is a standard single domain Active Directory forest dedicated to the function of Active Directory management. Aufgrund des begrenzten Einsatzgebiets können administrative Gesamtstrukturen und Domänen strikter abgesichert werden als Produktionsgesamtstrukturen.Administrative forests and domains may be hardened more stringently than production forests because of the limited use cases.

Beim Entwurf einer administrativen Gesamtstruktur sollte Folgendes berücksichtigt werden:An administrative forest design should include the following considerations:

  • Beschränkter Gültigkeitsbereich: Der primäre Nutzen einer administrativen Gesamtstruktur liegt in der hohen Sicherheitsstufe und der verringerten Angriffsfläche, die zu einem geringeren Restrisiko führen.Limited scope - The primary value of an admin forest is the high level of security assurance and reduced attack surface resulting in lower residual risk. Die Gesamtstruktur kann für zusätzliche Verwaltungsfunktionen und -anwendungen verwendet werden, jede Erweiterung des Bereichs vergrößert jedoch die Angriffsfläche der Gesamtstruktur und ihrer Ressourcen.The forest can be used to house additional management functions and applications, but each increase in scope will increase the attack surface of the forest and its resources. Das Ziel ist die Einschränkung der Funktionen der Gesamtstruktur und ihrer Administratorbenutzer, um die Angriffsfläche minimal zu halten, daher sollte jede Erweiterung des Bereichs sorgfältig durchdacht werden.The objective is to limit the functions of the forest and admin users inside to keep the attack surface minimal, so each scope increase should be considered carefully.

  • Konfiguration von Vertrauensstellungen: Die Konfiguration von Vertrauensstellungen wird von verwalteten Gesamtstrukturen oder Domänen zur administrativen Gesamtstruktur verlagert.Trust configurations - Configure trust from managed forests(s) or domain(s) to the administrative forest

    • Von der Produktionsumgebung zur administrativen Gesamtstruktur ist eine unidirektionale Vertrauensstellung erforderlich.A one-way trust is required from production environment to the admin forest. Dabei kann es sich um eine Domänen- oder Gesamtstruktur-Vertrauensstellung handeln.This can be a domain trust or a forest trust. Die administrative Gesamtstruktur muss den verwalteten Domänen/Gesamtstrukturen nicht vertrauen, um Active Directory verwalten zu können. Zusätzliche Anwendungen können jedoch eine bidirektionale Vertrauensstellung, Sicherheitsüberprüfungen und Tests erfordern.The admin forest/domain does not need to trust the managed domains/forests to manage Active Directory, though additional applications may require a two-way trust relationship, security validation, and testing.
    • Um Konten in der administrativen Gesamtstruktur auf die Protokollierung auf den richtigen Produktionshosts zu beschränken, sollte die ausgewählte Authentifizierung verwendet werden.Selective authentication should be used to restrict accounts in the admin forest to only logging on to the appropriate production hosts. Zur Verwaltung von Domänencontrollern und Delegierung von Rechten in Active Directory ist hierbei in der Regel die Berechtigung für die Anmeldung auf Domänencontrollern für die jeweiligen Administratorkonten der Ebene 0 in der administrativen Gesamtstruktur erforderlich.For maintaining domain controllers and delegating rights in Active Directory, this typically requires granting the "Allowed to logon" right for domain controllers to designated Tier 0 admin accounts in the admin forest. Weitere Informationen finden Sie unter „Konfigurieren der Einstellungen für ausgewählte Authentifizierung“.See Configuring Selective Authentication Settings for more information.
  • Berechtigungen und Härten von Domänen: Die administrative Gesamtstruktur sollte anhand der geringsten erforderlichen Rechte für die Active Directory-Verwaltung konfiguriert werden.Privileges and domain hardening - The administrative forest should be configured to least privilege based on the requirements for Active Directory administration.

    • Zum Erteilen von Rechten für die Verwaltung von Domänencontrollern und Delegieren von Berechtigungen müssen der lokalen Gruppe der Domäne „BUILTIN\Administrators“ Administratorkonten für die Gesamtstruktur hinzugefügt werden.Granting rights to administer domain controllers and delegate permissions requires adding admin forest accounts to the BUILTIN\Administrators domain local group. Der Grund dafür ist, dass die globale Gruppe „Domänen-Admins“ nicht über Mitglieder einer externen Domäne verfügen darf.This is because the Domain Admins global group cannot have members from an external domain.

    • Gegen die Verwendung dieser Gruppe zum Erteilen von Rechten spricht, dass standardmäßig kein Administratorzugriff auf neue Gruppenrichtlinienobjekte zugewiesen wird.One caveat to using this group to grant rights is that they won't have administrative access to new group policy objects by default. Diese Standardberechtigungen für Schemas können über die in diesem Knowledge Base-Artikel beschriebenen Schritte geändert werden.This can be changed by following the procedure in this knowledge base article to change the schema default permissions.

    • Konten in der administrativen Gesamtstruktur, die für die Verwaltung der Produktionsumgebung verwendet werden, sollten keine Administratorberechtigungen für die administrative Gesamtstruktur oder die enthaltenen Domänen oder Arbeitsstationen erhalten.Accounts in the admin forest that are used to administer the production environment should not be granted administrative privileges to the admin forest, domains in it, or workstations in it.

    • Administratorrechte für die administrative Gesamtstruktur sollten über ein Offlineverfahren streng kontrolliert werden, um das Löschen von Überwachungsprotokollen durch Angreifer oder böswillige Mitarbeiter zu erschweren.Administrative privileges over the admin forest should be tightly controlled by an offline process to reduce the opportunity for an attacker or malicious insider to erase audit logs. Dies trägt auch dazu bei, dass Mitarbeiter mit Administratorkonten für die Produktion die Einschränkungen ihrer Konten nicht lockern und damit das Risiko für die Organisation steigern können.This also helps ensure that personnel with production admin accounts cannot relax the restrictions on their accounts and increase risk to the organization.

    • Die administrative Gesamtstruktur sollte die Microsoft Security Compliance Baseline-Konfigurationen für die Domäne befolgen und sichere Konfigurationen für Authentifizierungsprotokolle aufweisen.The administrative forest should follow the Microsoft Security Compliance Baseline (SCB) configurations for the domain, including strong configurations for authentication protocols.

    • Alle Hosts in der administrativen Gesamtstruktur sollten automatisch mit Sicherheitsupdates aktualisiert werden.All admin forest hosts should be automatically updated with security updates. Dies birgt zwar das Risiko einer Unterbrechung des Domänencontroller-Wartungsbetriebs, bietet jedoch eine erhebliche Verringerung von Sicherheitsrisiken durch nicht behobene Schwachstellen.While this may create risk of interrupting domain controller maintenance operations, it provides a significant mitigation of security risk of unpatched vulnerabilities.

      Hinweis

      Eine dedizierte Windows Server Update Services-Instanz kann so konfiguriert werden, dass Updates automatisch genehmigt werden.A dedicated Windows Server Update Services instance can be configured to automatically approve updates. Weitere Informationen finden Sie im Abschnitt „Automatisches Genehmigen der Installation von Updates“ des Dokuments „Genehmigen von Updates“.For more information, see the "Automatically Approve Updates for Installation" section in Approving Updates.

  • Härten von Arbeitsstationen: Erstellen Sie die Administratorarbeitsstationen unter Verwendung der Arbeitsstationen mit privilegiertem Zugriff (über Phase 3), ändern Sie die Domänenmitgliedschaft jedoch so, dass anstelle der Produktionsumgebung die administrative Gesamtstruktur verwendet wird.Workstation Hardening - Build the administrative workstations using the Privileged Access Workstations (through Phase 3), but change the domain membership to the administrative forest instead of the production environment.

  • Härten von Servern und Domänencontrollern: Für alle Domänencontroller und Server in der administrativen Gesamtstruktur gilt Folgendes:Server and DC hardening - For all domain controllers and servers in the administrative forest:

    • Stellen Sie sicher, dass alle Medien über die in Vertrauenswürdige Quelle für Installationsmedien beschriebenen Verfahren überprüft wurden.Ensure all media is validated using the guidance in Clean Source for installation media

    • Stellen Sie sicher, dass auf den Servern innerhalb der administrativen Gesamtstruktur aktuelle Betriebssysteme installiert sind (selbst wenn dies in der Produktionsumgebung nicht möglich ist).Ensure the administrative forest servers should have the latest operating systems installed, even if this is not feasible in production.

    • Hosts in der administrativen Gesamtstruktur sollten automatisch mit Sicherheitsupdates aktualisiert werden.Admin forest hosts should be automatically updated with security updates.

      Hinweis

      Windows Server Update Services können so konfiguriert werden, dass Updates automatisch genehmigt werden.Windows Server Update Services can be configured to automatically approve updates. Weitere Informationen finden Sie im Abschnitt „Automatisches Genehmigen der Installation von Updates“ des Dokuments „Genehmigen von Updates“.For more information, see the "Automatically Approve Updates for Installation" section in Approving Updates.

    • Sicherheitsbaselines sollten als Ausgangskonfiguration verwendet werden.Security Baselines should be used as starting configurations.

      Hinweis

      Kunden können das Microsoft Security Compliance Toolkit (SCT) zum Konfigurieren von Baselines auf den administrativen Hosts verwenden.Customers can use the Microsoft Security Compliance Toolkit (SCT) for configuring the baselines on the administrative hosts.

    • Sicherer Start zur Abhilfe gegen Angreifer oder Schadsoftware, die versuchen, während des Startvorgangs nicht signierten Code zu laden.Secure Boot to mitigate against attackers or malware attempting to load unsigned code into the boot process.

      Hinweis

      Diese Funktion wurde in Windows 8 eingeführt, um UEFI (Unified Extensible Firmware Interface) zu nutzen.This feature was introduced in Windows 8 to leverage the Unified Extensible Firmware Interface (UEFI).

    • Verschlüsselung ganzer Volumes zur Verringerung des Risikos durch den Verlust physischer Computer, z. B. administrativer Laptops, die an Remotestandorten eingesetzt werden.Full volume encryption to mitigate against physical loss of computers, such as administrative laptops used remotely.

      Hinweis

      Weitere Informationen finden Sie unter BitLocker.See BitLocker for more information.

    • USB-Einschränkungen zum Schutz vor physischen Infektionsvektoren.USB restrictions to protect against physical infection vectors.

      Hinweis

      Weitere Informationen finden Sie unter Control Read or Write Access to Removable Devices or Media (Kontrollieren des Lese- oder Schreibzugriffs auf Wechselmedien).See Control Read or Write Access to Removable Devices or Media for more information.

    • Netzwerkisolation zum Schutz vor Netzwerkangriffen und unbeabsichtigten Administratoraktionen.Network isolation to protect against network attacks and inadvertent admin actions. Hostfirewalls sollten alle eingehenden Verbindungen, mit Ausnahme der ausdrücklich erforderlichen, und sämtliche ausgehenden Internetzugriffe sperren.Host firewalls should block all incoming connections except those explicitly required and block all outbound Internet access.

    • Antischadsoftware zum Schutz vor bekannten Risiken und Schadsoftware.Antimalware to protect against known threats and malware.

    • Analyse der Angriffsfläche zum Verhindern der Einführung neuer Angriffsvektoren auf Windows während der Installation von neuer Software.Attack surface analysis to prevent introduction of new attack vectors to Windows during installation of new software.

      Hinweis

      Die Verwendung von Tools wie Attack Surface Analyzer (ASA) trägt dazu bei, die Konfigurationseinstellungen auf einem Host auszuwerten und Angriffsvektoren zu identifizieren, die durch Software oder Konfigurationsänderungen eingeführt werden.Use of tools such as the Attack Surface Analyzer (ASA) will help assess configuration settings on a host and identify attack vectors introduced by software or configuration changes.

  • Härten von KontenAccount hardening

    • Mit Ausnahme eines Kontos sollte die mehrstufige Authentifizierung für alle Konten in der administrativen Gesamtstruktur konfiguriert werden.Multi-factor authentication should be configured for all accounts in the admin forest, except one account. Mindestens ein Administratorkonto sollte kennwortbasiert sein, um bei einem Ausfall der mehrstufigen Authentifizierung die Möglichkeit des Zugriffs sicherzustellen.At least one administrative account should be password based to ensure access will work in case the multi-factor authentication process breaks. Dieses Konto sollte durch strikte physische Kontrollmechanismen geschützt werden.This account should be protected by a stringent physical control process.

    • Konten, die für die mehrstufige Authentifizierung konfiguriert sind, sollten für die regelmäßige Festlegung eines neuen NTLM-Hashs für Konten konfiguriert werden.Accounts configured for multi-factor authentication should be configured to set a new NTLM hash on accounts regularly. Zu diesem Zweck können Sie das Attribut „Benutzer muss sich mit einer Smartcard anmelden“ deaktivieren und umgehend erneut aktivieren.This can be accomplished by disabling and enabling the account attribute Smart card is required for interactive logon.

      Hinweis

      Durch diese Aktion können laufende Vorgänge unterbrochen werden, die dieses Konto nutzen. Daher sollte die Aktion nur initiiert werden, wenn das Konto nicht von Administratoren verwendet wird (z. B. nachts oder am Wochenende).This can interrupt operations in progress that are using this account, so this process should be initiated only when administrators won't be using the account, such as at night or on weekends.

  • ErkennungskontrollenDetective controls

    • Erkennungskontrollen für die administrative Gesamtstruktur sollten bei Anomalien in der administrativen Gesamtstruktur Warnungen ausgeben.Detective controls for the administrative forest should be designed to alert on anomalies in the admin forest. Die begrenzte Anzahl von autorisierten Szenarios und Aktivitäten trägt dazu bei, diese Kontrollen präziser als die Produktionsumgebung zu optimieren.The limited number of authorized scenarios and activities can help tune these controls more accurately than the production environment.

Weitere Informationen zu Microsoft-Diensten für den Entwurf und die Bereitstellung einer ESAE für Ihre Umgebung finden Sie auf dieser Seite.For more information engaging about Microsoft services to design and deploy an ESAE for your environment, see this page.

Äquivalenz zur Ebene 0Tier 0 Equivalency

Die meisten Organisationen kontrollieren die Mitgliedschaft wichtiger Active Directory-Gruppen der Ebene 0 (z. B. Administratoren, Domänen-Admins und Unternehmensadministratoren).Most organizations control membership to powerful Tier 0 Active Directory groups like Administrators, Domain Admins, and Enterprise Admins. Dabei übersehen viele Organisationen jedoch das Risiko anderer Gruppen, die in einer typischen Active Directory-Umgebung effektiv über äquivalente Berechtigungen verfügen.Many organizations overlook the risk of other groups that are effectively equivalent in privilege in a typical active directory environment. Diese Gruppen bieten einen recht einfachen Eskalationspfad für Angreifer, um über verschiedene Angriffsmethoden auf dieselben expliziten Berechtigungen der Ebene 0 zuzugreifen.These groups offer a relatively easy escalation path for an attacker to the same explicit Tier 0 privileges using various different attack methods.

Ein Serveroperator könnte z. B. Zugang zum Sicherungsmedium eines Domänencontrollers erhalten und alle Anmeldeinformationen aus den Dateien auf diesem Medium abrufen, um diese zur Ausweitung von Berechtigungen zu nutzen.As an example, a server operator could gain access to a backup media of a domain controller and extract all the credentials from the files in that media and use them to escalate privileges.

Organisationen sollten die Mitgliedschaft in allen Gruppen der Ebene 0 (einschließlich geschachtelter Mitgliedschaften) kontrollieren und überwachen. Dazu zählen u. a. die Folgenden:Organizations should control and monitor membership in all of the Tier 0 groups (including nested membership) including:

  • Organisations-AdminsEnterprise Admins
  • Domänen-AdminsDomain Admins
  • Schema-AdminSchema Admin
  • BUILTIN\AdministratorsBUILTIN\Administrators
  • Konten-OperatorenAccount Operators
  • SicherungsoperatorenBackup Operators
  • Druck-OperatorenPrint Operators
  • Server-OperatorenServer Operators
  • DomänencontrollerDomain Controllers
  • Read-only-DomänencontrollerRead-only Domain Controllers
  • Gruppenrichtlinienersteller-BesitzerGroup Policy Creator Owners
  • Kryptografie-OperatorenCryptographic Operators
  • Distributed COM-BenutzerDistributed COM Users
  • Andere delegierte Gruppen: benutzerdefinierte Gruppen, die von Ihrer Organisation zum Verwalten von Verzeichnisvorgängen erstellt werden und möglicherweise ebenfalls über effektiven Zugriff der Ebene 0 verfügen.Other Delegated Groups - Custom groups that may be created by your organization to manage directory operations that may also have effective Tier 0 access.

Verwaltungstools und AnmeldetypenAdministrative Tools and Logon Types

Anhand dieser Referenzinformationen können Sie das Risiko einer Offenlegung von Anmeldeinformationen ermitteln, das mit der Verwendung verschiedener Tools für die Remoteverwaltung einhergeht.This is reference information to help identify the risk of credential exposure associated with using different administrative tools for remote administration.

In einem Remoteverwaltungsszenario werden die Anmeldeinformationen auf dem Quellcomputer immer offengelegt. Daher wird für vertrauliche Konten oder Konten mit großen Auswirkungen eine vertrauenswürdige Arbeitsstation mit privilegiertem Zugriff empfohlen.In a remote administration scenario, credentials are always exposed on the source computer so a trustworthy privileged access workstation (PAW) is always recommended for sensitive or high impact accounts. Ob Anmeldeinformationen auf dem Zielcomputer (Remotecomputer) offengelegt werden und potenziell gestohlen werden können, hängt in erster Linie vom Windows-Anmeldetyp ab, der von der Verbindungsmethode verwendet wird.Whether credentials are exposed to potential theft on the target (remote) computer depends primarily on the windows logon type used by the connection method.

Diese Tabelle umfasst Informationen zu den meisten gängigen Verwaltungstools und Verbindungsmethoden:This table includes guidance for the most common administrative tools and connection methods:

VerbindungsmethodeConnection method AnmeldetypLogon type Wiederverwendbare Anmeldeinformationen auf dem ZielReusable credentials on destination AnmerkungenComments
Anmeldung bei der KonsoleLog on at console Interactive (Interaktiv)Interactive vv Umfasst Remotehardwarezugriff/Lights-out-Karten und Netzwerk-KVMs.Includes hardware remote access / lights-out cards and network KVMs.
RUNASRUNAS Interactive (Interaktiv)Interactive vv
RUNAS/NETZWERKRUNAS /NETWORK NewCredentialsNewCredentials vv Klont die aktuelle LSA-Sitzung für den lokalen Zugriff, verwendet bei der Verbindung mit Netzwerkressourcen jedoch neue Anmeldeinformationen.Clones current LSA session for local access, but uses new credentials when connecting to network resources.
Remotedesktop (erfolgreich)Remote Desktop (success) RemoteInteractiveRemoteInteractive vv Wenn der Remotedesktopclient für die Freigabe lokaler Geräte und Ressourcen konfiguriert ist, können auch diese gefährdet sein.If the remote desktop client is configured to share local devices and resources, those may be compromised as well.
Remotedesktop (Fehler – Anmeldetyp verweigert)Remote Desktop (failure - logon type was denied) RemoteInteractiveRemoteInteractive - Wenn bei der Anmeldung über RDP ein Fehler auftritt, werden die Anmeldeinformationen standardmäßig nur sehr kurz gespeichert.By default, if RDP logon fails credentials are only stored very briefly. Wenn der Computer gefährdet ist, ist dies möglicherweise nicht der Fall.This may not be the case if the computer is compromised.
Net use * \\SERVERNet use * \\SERVER NetworkNetwork -
Net use * \\SERVER /u:userNet use * \\SERVER /u:user NetworkNetwork -
MMC-Snap-Ins für RemotecomputerMMC snap-ins to remote computer NetworkNetwork - Beispiel: Computerverwaltung, Ereignisanzeige, Geräte-Manager, DiensteExample: Computer Management, Event Viewer, Device Manager, Services
PowerShell WinRMPowerShell WinRM NetworkNetwork - Beispiel: Enter-PSSession ServerExample: Enter-PSSession server
PowerShell WinRM mit CredSSPPowerShell WinRM with CredSSP NetworkClearTextNetworkClearText vv New-PSSession serverNew-PSSession server
-Authentication Credssp-Authentication Credssp
-Credential cred-Credential cred
PsExec ohne explizite AnmeldeinformationenPsExec without explicit creds NetworkNetwork - Beispiel: PsExec \\server cmdExample: PsExec \\server cmd
PsExec mit expliziten AnmeldeinformationenPsExec with explicit creds Netzwerk und interaktivNetwork + Interactive vv PsExec \\server -u user -p pwd cmdPsExec \\server -u user -p pwd cmd
Erstellt mehrere Anmeldesitzungen.Creates multiple logon sessions.
RemoteregistrierungRemote Registry NetworkNetwork -
RemotedesktopgatewayRemote Desktop Gateway NetworkNetwork - Authentifizierung gegenüber Remotedesktopgateway.Authenticating to Remote Desktop Gateway.
Geplanter TaskScheduled task Batch (Stapel)Batch vv Das Kennwort wird auch als geheime LSA-Information auf dem Datenträger gespeichert.Password will also be saved as LSA secret on disk.
Tools als Dienst ausführenRun tools as a service ServiceService vv Das Kennwort wird auch als geheime LSA-Information auf dem Datenträger gespeichert.Password will also be saved as LSA secret on disk.
Überprüfung auf SicherheitsrisikenVulnerability scanners NetworkNetwork - Bei den meisten Überprüfungen werden Netzwerkanmeldungen verwendet. Einige Anbieter implementieren jedoch möglicherweise andere Anmeldeverfahren, die ein höheres Risiko für einen Diebstahl von Anmeldeinformationen zur Folge haben.Most scanners default to using network logons, though some vendors may implement non-network logons and introduce more credential theft risk.

Informationen zur Webauthentifizierung finden Sie in der Tabelle unten:For web authentication, use the reference from the table below:

VerbindungsmethodeConnection method AnmeldetypLogon type Wiederverwendbare Anmeldeinformationen auf dem ZielReusable credentials on destination KommentareComments
IIS-StandardauthentifizierungIIS "Basic Authentication" NetworkCleartextNetworkCleartext
(IIS 6.0 und höher)(IIS 6.0+)

Interactive (Interaktiv)Interactive
(vor IIS 6.0)(prior to IIS 6.0)
vv
Integrierte Windows-Authentifizierung (IIS)IIS "Integrated Windows Authentication" NetworkNetwork - NTLM- und Kerberos-Anbieter.NTLM and Kerberos Providers.

Spaltendefinitionen:Column Definitions:

  • Anmeldetyp identifiziert den Anmeldetyp, der von der Verbindung initiiert wird.Logon type identifies the logon type initiated by the connection.
  • Wiederverwendbare Anmeldeinformationen auf dem Ziel gibt an, dass die folgenden Typen von Anmeldeinformationen im LSASS-Prozessspeicher auf dem Zielcomputer gespeichert werden, auf dem das angegebene Konto lokal angemeldet wird:Reusable credentials on destination indicates that the following credential types will be stored in LSASS process memory on the destination computer where the specified account is logged on locally:
    • LM- und NT-HashesLM and NT hashes
    • Kerberos TGTsKerberos TGTs
    • Nur-Text-Kennwort (falls zutreffend).Plaintext password (if applicable).

Die Symbole in dieser Tabelle sind wie folgt definiert:The symbols in this table defined as follows:

  • (-) zeigt an, dass die Anmeldeinformationen nicht offengelegt werden.(-) denotes when credentials are not exposed.
  • (v) zeigt an, dass die Anmeldeinformationen offengelegt werden.(v) denotes when credentials are exposed.

Bei Verwaltungsanwendungen, die nicht in dieser Tabelle aufgeführt sind, können Sie den Anmeldetyp anhand des entsprechenden Felds in den überwachten Anmeldeereignissen ermitteln.For management applications that are not in this table, you can determine the logon type from the logon type field in the audit logon events. Weitere Informationen finden Sie unter Anmeldeereignisse überwachen.For more information, see Audit logon events.

Auf Windows-basierten Computern werden alle Authentifizierungen als einer von mehreren Anmeldetypen verarbeitet (unabhängig davon, welches Authentifizierungsprotokoll oder welcher Authenticator verwendet wird).In Windows-based computers, all authentications are processed as one of several logon types, regardless of which authentication protocol or authenticator is used. Diese Tabelle enthält die gängigsten Anmeldetypen sowie die zugehörigen Attribute im Hinblick auf den Diebstahl von Anmeldeinformationen:This table includes most common logon types and their attributes relative to credential theft:

AnmeldetypLogon type # Akzeptierte AuthenticatorsAuthenticators accepted Wiederverwendbare Anmeldeinformationen in LSA-SitzungReusable credentials in LSA session BeispieleExamples
Interaktiv (lokale Anmeldung)Interactive (a.k.a., Logon locally) 22 Kennwort, Smartcard,Password, Smartcard,
andereother
JaYes Konsolenanmeldung,Console logon;
RUNAS,RUNAS;
Lösungen zur Remotesteuerung von Hardware (z. B. Netzwerk-KVM oder Remotezugriff/Lights-Out-Karte in Servern)Hardware remote control solutions (such as Network KVM or Remote Access / Lights-Out Card in server)
IIS-Standardauthentifizierung (vor IIS 6.0)IIS Basic Auth (before IIS 6.0)
NetworkNetwork 33 Kennwort,Password,
NT-Hash,NT Hash,
Kerberos-TicketKerberos ticket
Nein (Ausnahme: Wenn die Delegierung aktiviert ist, sind Kerberos-Tickets vorhanden)No (except if delegation is enabled, then Kerberos tickets present) NET USE,NET USE;
RPC-Aufrufe,RPC calls;
Remoteregistrierung,Remote registry;
Integrierte Windows-Authentifizierung (IIS),IIS integrated Windows auth;
SQL-Windows-Authentifizierung,SQL Windows auth;
Batch (Stapel)Batch 44 Kennwort (üblicherweise als geheime LSA-Daten gespeichert)Password (usually stored as LSA secret) JaYes Geplante AufgabenScheduled tasks
ServiceService 55 Kennwort (üblicherweise als geheime LSA-Daten gespeichert)Password (usually stored as LSA secret) JaYes Windows-DiensteWindows services
NetworkCleartextNetworkCleartext 88 KennwortPassword JaYes IIS-Standardauthentifizierung (IIS 6.0 und höher),IIS Basic Auth (IIS 6.0 and newer);
Windows PowerShell mit CredSSPWindows PowerShell with CredSSP
NewCredentialsNewCredentials 99 KennwortPassword JaYes RUNAS/NETZWERKRUNAS /NETWORK
RemoteInteractiveRemoteInteractive 1010 Kennwort, Smartcard,Password, Smartcard,
andereother
JaYes Remotedesktop (früher „Terminaldienste“)Remote Desktop (formerly known as "Terminal Services")

Spaltendefinitionen:Column definitions:

  • Anmeldetyp ist der Typ der angeforderten Anmeldung.Logon type is the type of logon requested.
  • # ist der numerische Bezeichner für den Anmeldetyp, der in Überwachungsereignissen des Sicherheitsereignisprotokolls aufgeführt wird.# is the numeric identifier for the logon type that is reported in audit events in the Security event log.
  • Akzeptierte Authenticators gibt an, welche Typen von Authenticators eine Anmeldung dieses Typs initiieren können.Authenticators accepted indicates which types of authenticators are able to initiate a logon of this type.
  • Wiederverwendbare Anmeldeinformationen in einer LSA-Sitzung gibt an, ob der Anmeldetyp zur Folge hat, dass die LSA-Sitzung die Anmeldeinformationen (z. B. Nur-Text-Kennwörter, NT-Hashes oder Kerberos-Tickets) speichert, sodass diese gegebenenfalls für die Authentifizierung gegenüber anderer Netzwerkressourcen verwendet werden können.Reusable credentials in LSA session indicates whether the logon type results in the LSA session holding credentials, such as plaintext passwords, NT hashes, or Kerberos tickets that could be used to authenticate to other network resources.
  • Unter Beispiele sind gängige Szenarien aufgeführt, in denen der Anmeldetyp verwendet wird.Examples list common scenarios in which the logon type is used.

Hinweis

Weitere Informationen zu Anmeldetypen finden Sie unter SECURITY_LOGON_TYPE enumeration (SECURITY_LOGON_TYPE-Enumeration).For more information about Logon Types, see SECURITY_LOGON_TYPE enumeration.