Privileged Access Management

    Microsoft Identity Manager 2016: Überblick über die Funktionen

    Microsoft Identity ManagerDie wichtigsten Funk­tionen von Micro­soft Iden­tity Manager (MIM) bestehen in der Synchro­nisierung von Objek­ten zwischen dem (Azure) AD und anderen Ver­zeich­nissen. Außer­dem um­fasst er ein Self-Service-Portal, ein Modul für die Zerti­fikats­ver­waltung und für Privileged Access Management (PAM).

    Technisches Webinar: Admin-Konten vor Angriffen und Missbrauch schützen

    Rollen-basierte Zugriffskontrolle mit Password Manager ProPrivi­legierte Benutzer­konten sind ein bevor­zugtes Ziel für An­greifer, um Zugriff auf ver­trauliche Daten zu erlangen. Tools für das auto­ma­tisierte Manage­ment solcher Accounts hel­fen dabei, Einfalls­tore für Cyber-Attacken zu schließen. Damit erfüllen Unter­nehmen eine wichtige Voraus­setzung für die Ein­haltung der Daten­schutz-Grund­verordnung.

    Best Practice: Sichere Rechner für Administratoren einrichten

    Privileged Admini­strative WorkstationMicrosoft verfolgt seit einiger Zeit das Kon­zept der Privileged Admini­strative Workstation (PAW). Es han­delt sich dabei um eine dedi­zierte (virtu­elle) Maschine, die aus­schließ­lich der System­verwaltung dient und die durch zahl­reiche strikte Vor­kehrungen gegen An­griffe ge­schützt ist. Neue Features wie Device und Credential Guard können eine PAW nur ergänzen.

    Just-In-Time Administration (JIT) in Windows Server 2016

    Just-In-Time Administration (JIT)Wenn ein admini­stratives Kon­to in die falschen Hände gerät, dann stehen bös­willigen Zeit­genossen Tür und Tor für destruktive Akti­vitäten offen. Privileged Account Manage­ment (PAM) redu­ziert diese Gefahr, indem es etwa Berech­tigungen nur tempo­rär einräumt. Microsoft bietet in Server 2016 mit Just-In-Time Admini­stration (JIT) eine eigene Lösung an.

    Admin-Aufgaben delegieren mit Just Enough Administration (JEA)

    Just Enough AdministrationGerade genug Admini­stration (Just enough Administration) ist ein Feature in Windows 10 und Server 2016, mit der sich die System­ver­waltung mittels Power­Shell fein granular dele­gieren lässt. Unab­hängig von der Gruppen­mit­glied­schaft eines Benutzers kann seine Remote-Session mit JEA auf bestimmte Cmdlets oder gar einzelne ihrer Para­meter einge­schränkt werden.

    Task-Manager ohne UAC-Anmeldedialog starten

    Task-ManagerSeit Windows 8.1 hat der Task-Manager die Ange­wohn­heit, nach dem Start die Ein­gabe des Passworts oder alter­nativer Anmelde­daten zu verlangen. Dies gilt auch dann, wenn man ihn gar nicht mit erhöhten Rechten aus­führen will. Während es dafür unter Windows 8.1 eine pass­genaue Lösung gibt, muss man in Windows 10 Abstriche machen.

    Runas, UAC, Fast User Switching: Als Administrator mit Standardrechten arbeiten

    An Windows 8 anmeldenEs gehört zu den goldenen Regeln der Sys­tem­verwaltung, dass Admini­stratoren nicht perma­nent mit vollen Privi­legien arbeiten sollen. Für nor­male Tätigkeiten (Mail, Web, Office) reicht die Anmeldung als Standardnutzer. Die erhöhten Rech­te bleiben Situationen vorbehalten, in denen sie erforderlich sind. Windows bietet dafür mehrere Optionen.

    Verzicht auf Administrator-Rechte entschärft Sicherheitslücken

    An die 97 Prozent der kritischen Sicherheitslücken, die 2014 in Software von Microsoft auftraten, wären ungefährlich gewesen, wenn Anwender nicht mit Administrator-Rechten gearbeitet hätten. Das ergab eine Untersuchung der britischen IT-Sicherheitsfirma Avecto. Sie wertete dazu die Dokumente aus, die Microsoft jeweils an den monatlichen "Patch Tuesdays" veröffentlichte. Der Microsoft Vulnerabilities Report 2014 kann nach Angaben von Adressdaten von dieser Web-Seite von Avecto heruntergeladen werden.

    UAC-Prompt über GPO für Administratoren und User konfigurieren

    UAC PromptDie Benutzerkontensteuerung (User Account Control, UAC) irritierte bei ihrer Einführung mit Vista viele Admins, weil sie die ausdrückliche Genehmigung von allen möglichen Aktionen erzwang. Windows 7 reduzierte die Zahl der als störend empfundenen Prompts und bot feinere Einstellungsmöglichkeiten. Noch genauer als über die Systemsteuerung lässt sich die UAC über Gruppenrichtlinien konfigurieren.

    Standardbenutzer statt Administratorrechte: Least Privilege in Windows 7

    StandardbenutzerEine oft empfohlene Best Practice lautet, normale Benutzer nicht mit lokalen Admini­strator­rechten auszustatten. Zu viele Privi­legien erhöhen nicht nur die Sicher­heits­risiken, sondern beschäftigen auch den Helpdesk. Aller­dings ließ sich das Least-Privilege-Prinzip unter XP mit Bordmitteln alleine kaum umsetzen. Vista und Windows 7 brachten hier erhebliche Fort­schritte.

    Seiten