Just-In-Time Administration (JIT) in Windows Server 2016

Ob Unbekannte im Besitz derartiger Credentials sind, wird häufig nicht sofort bemerkt. Es bedarf für Unbefugte nicht unbedingt eines Pass-the-Hash-Angriffs oder generell einer Malware, um Zugang zu privilegierten Konten zu erlangen. Auch Admins, die das Unternehmen verlassen und deren Zugangs­berechtigungen im Nachgang nicht mit der nötigen Sorgfalt zurückgesetzt werden, können ein Risiko darstellen.

Windows Server 2016 umfasst zwei neue Technologien, welche den Missbrauch erhöhter Rechte eindämmen. Zum einen handelt es sich dabei um die von mir bereits beschriebene Just Enough Administration (JEA), zum anderen um Just-In-Time Administration (JIT) in Active Directory. Es bietet sich also an, PAM/JIT und JEA zu kombinieren.

Was bedeutet Just-In-Time Administration?

Kurz und knapp beschrieben bedeutet JIT, dass Benutzer in einem bestimmten Zeitfenster zu einer privilegierten Gruppe im AD gehören und administrative Fähigkeiten nur auf Anfrage erlangen. Das heißt zum Beispiel, dass User Byrann Zweig administrative Tätigkeiten von 13 bis 18 Uhr ausführen darf und danach automatisch seinen Status verliert. Nutzt er in seiner Session zusätzlich JEA, dann schränkt sich die Reichweite seines Accounts auf die konfigurierten Cmdlets und Parameter ein.

Eine solche Anfrage für einen privilegierten Zugang erfolgt über den Web-Service des kostenpflichtigen Microsoft Identity Manager (MIM 2016 SP1), Nachfolger des abgekündigten Forefront Identity Manager (FIM), oder via PowerShell.

Voraussetzungen für eine JIT Administration

Die vorhandene Gesamtstruktur inkl. der Domäne(n) samt Benutzer und Gruppen bleibt bei einer JIT/PAM-Lösung bestehen, der notwendige isolierte Forest kann zusätzlich erstellt werden. Insgesamt erfordert JIT hier folgende Voraussetzungen:

• Ein Forest Functional Level gleich Windows Server 2016
• Die Installation von Microsoft Identity Manager (MIM 2016 SP1)
• Das MIM-Portal wird über SharePoint ab 2013 SP1 bereitgestellt
• Die MIM-Datenbank wird unter SQL Server ab 2012 SP1 gespeichert
• Wenn möglich sollten auch MIM und SQL hochverfügbar konfiguriert werden

Zusätzlichen geschützten Forest für PAM und MIM konfigurieren

Temporäre administrative Konten werden für eine JIT-Lösung isoliert in einem dedizierten Forest untergebracht. Dieses speziell für PAM konfigurierte Active Directory findet neben dem bestehenden Unternehmens-Forest Platz und braucht Windows Server 2016, da das optionale Privileged Access Management hier neue Funktionen nutzt.

Zuvor definierte administrative Gruppen sollten demnach in dem geschützten Forest (Bastion) angelegt werden, sie beherbergen später jene genehmigten temporären Benutzer. Zwischen den beiden Gesamt­strukturen ist dann eine Vertrauensstellung in eine Richtung zu konfigurieren. Bestehende administrative Gruppen im vorhandenen Unternehmens-AD bleiben leer.

Ablauf bis zur zeitlich begrenzten Administration

Schaut man sich den Vorgang für eine JIT im Detail genauer an, dann wird auch das Zusammenspiel zwischen den Forests an diesem Beispiel deutlich:

• Die Gruppe COMP-Admins ist eine privilegierte Gruppe in der vorhandenen Unternehmens­gesamt­struktur.
• Benutzer Byrann Zweig wurde aus dieser Gruppe entfernt.
• In der geschützten Struktur wird eine Shadow-Principal-Gruppe ohne Mitglieder erstellt.
• Byrann Zweig benötigt administrative Rechte und reicht diese Anfrage via MIM-Web-Portal oder PowerShell ein.
• Derartige Anfragen können zusätzlich durch eine Multifaktor-Authentifizierung abgesichert werden.
• Der Antrag wird durch MIM-Richtlinien automatisch oder manuell genehmigt. Dieser Vorgang wird im Eventlog protokolliert.
• Ist die Anfrage gestattet, wird Byranns Benutzerkonto unterhalb der Shadow Principal hinzugefügt.
• Die Shadow-Principal-Gruppe verweist auf den gleichen SID wie die Gruppe COMP-Admins.
• Byrann kann nun seiner Tätigkeit nachkommen, jedoch zeitlich begrenzt.
• Ein whoami /groups zeigt jetzt die Mitgliedschaft Byranns in COMP-Admins und COMP-PAM-Admins.
• Die Gruppe COMP-Admins besitzt Berechtigungen auf entsprechende Ressourcen

Die verbleibende Zeit (Time-to-live, TTL) in der Shadow-Gruppe wird durch ein Kerberos Ticket Granting Ticket (TGT) des Kontos bestimmt. Nach Ablauf der Zeit wird das TGT ungültig und kann nicht mehr verwendet werden. Dement­sprechend wird wieder ein neuer Antrag fällig. Benutzerkonten bleiben somit generell in der vorhandenen Struktur bestehen.