Best Practice: Sichere Rechner für Administratoren einrichten

    Privileged Admini­strative WorkstationMicrosoft verfolgt seit einiger Zeit das Kon­zept der Privileged Admini­strative Workstation (PAW). Es han­delt sich dabei um eine dedi­zierte (virtu­elle) Maschine, die aus­schließ­lich der System­verwaltung dient und die durch zahl­reiche strikte Vor­kehrungen gegen An­griffe ge­schützt ist. Neue Features wie Device und Credential Guard können eine PAW nur ergänzen.

    Es gehört schon lange zu Grundregeln für Systemverwalter, getrennte Konten für normale und admini­strative Tätigkeiten zu verwenden. Für das das Versenden von Mails oder das Abrufen von Web-Seiten reicht ein Standard­benutzer. Die höheren Rechte sollten nur zum Einsatz kommen, wenn sie nötig sind (siehe dazu: Runas, UAC, Fast User Switching: Als Administrator mit Standardrechten arbeiten).

    RunAs und UAC alleine nicht sicher genug

    Die privilegierte administrative Workstation erweitert das Konzept der getrennten Konten, indem sie für die Anmeldung der privilegierten Benutzer zusätzlich eine speziell konfigurierte Workstation vorsieht.

    Mechanismen wie RunAs oder UAC gelten als nicht ausreichend sicher, weil etwa Pass-the-Hash-Angriffe auch hier erfolgreich sein können. Und sie bieten wenig Schutz, wenn der betreffende Rechner kompromittiert wurde, etwa durch einen Keylogger.

    Eigene PCs in sicheren Räumen

    Microsofts Empfehlung zufolge sollten Unternehmen nach Möglichkeit für diesen Zweck eine eigene Hardware zur Verfügung stellen, die obendrein in einem eigenen Raum stehen, um Unbefugten den physischen Zugriff auf den Rechner zu verwehren.

    Diese ideale Lösung lässt sich aber häufig nicht umsetzen, entweder weil es an Ressourcen fehlt oder weil Admins auch von anderen Standorten bzw. vom Home Office aus die Systeme verwalten. Dadurch entfällt die Möglichkeit, die Hardware in einem gesicherten Raum unterzubringen. Außerdem dürfte der ständige Transport eines zusätzlichen Admin-Notebooks unerwünscht sein.

    Virtuelle Alternativen

    Als Alternativen bietet sich eine virtuelle Hardware an. Bevorzugt handelt es sich dabei um einen virtuellen Desktop, der im Rechen­zentrum läuft und der nach den gleichen strikten Vorgaben konfiguriert wird wie ein physischer Rechner.

    Scheidet auch diese Variante aus, etwa weil ein solcher zentraler virtueller Desktop nicht von überall erreichbar ist, bleibt noch die Option mit Hyper-V. Dabei läuft die abgesicherte Admin-Workstation aber direkt auf der Hardware und in der VM ein Windows für die alltägliche Arbeit.

    Bei einer virtuellen Lösung sollte die PAW nicht in der VM, sondern auf der Hardware laufen.

    Umgekehrt wäre eine Admin-Workstation in der VM durch Angriffe auf den weniger gesicherten Host gefährdet.

    Maßnahmen zum Schutz einer PAW

    Zur Absicherung einer Privileged Administrative Workstation schlägt Microsoft ein ganzes Bündel von Maßnahmen vor, die den Rechner auf genau diese Aufgabe hin optimieren, ihn aber für andere Tätigkeiten weitgehend unbrauchbar machen. Die Vorschläge finden sich in diesem Dokument, hier die wichtigsten davon:

    • Die Einrichtung einer sicheren Admin-Umgebung beginnt schon bei der Installation. Hier sollte man dem Hersteller zufolge die neueste Version des OS verwenden, also Windows 10, und zwar in der Enterprise Edition. Sie enthält einige exklusive Sicherheits­funktionen, darunter Credential Guard und Device Guard. Das Setup sollte von verifizierten Originalmedien erfolgen.
    • Import der empfohlenen GPO-Einstellungen von der Security Baseline, die Microsoft für Windows 10 1703 erst kürzlich veröffentlicht hat.
    • Aktivieren von Secure Boot und Laufwerks­verschlüsselung mit Bitlocker. Sie verhindert Manipulationen, wenn ein Unbefugter den PC über ein Wechselmedium startet.
    • Whitelisting von Applikationen, so dass nicht genehmigte oder nicht vertrauenswürdige Programme blockiert werden. Dazu eignen sich AppLocker oder Device Guard, die zum Lieferumfang von Windows 10 Enterprise gehören. Der Rechner sollte zudem nur mit der absolut notwendigen Software ausgestattet werden.
    • Blockieren von eingehenden Netzwerkverbindung mit Hilfe der Windows-Firewall. Die entsprechenden Regeln lassen sich zentral über Gruppenrichtlinien festlegen
    • Für Browser sollte man den Zugang zum öffentlichen Web blockieren. Dies kann man ebenfalls über die Firewall tun oder indem man als Proxy-Server die Loopback-Adresse 127.0.0.1 einträgt.
    • Unverzügliches Einspielen von wichtigen Updates. WSUS sollte dabei so konfiguriert werden, dass Sicherheits-Update automatisch genehmigt werden. Alternativ kann man einen Administrator benennen, der sich um diese Aufgabe möglichst rasch kümmert.
    • Privilegierte Benutzer, die sich an einer PAW anmelden, sollten keine lokalen Admin-Rechte besitzen. Dies lässt sich mit Hilfe von Gruppenrichtlinien zentral steuern. Nach Möglichkeit sollten alle lokalen Admin-Gruppen leer bleiben.
    • Administratoren müssen daran gehindert werden, sich auf einem anderen Rechner anzumelden als einer PAW, weil sonst das ganze Konzept unterlaufen wird. Auch dies lässt sich über Gruppen­richtlinien bewerkstelligen. Außerdem sollte der RestrictedAdmin Mode aktiviert werden.
    • USB-Ports der Rechner sollte man so konfigurieren, dass keine Datenträger daran angeschlossen werden können (siehe dazu: USB-Geräte sperren mit Gruppenrichtlinien).
    • Um die speifischen GPOs auf PAWs anzuwenden, ist es sinnvoll, diese Admin-Rechner in einer eigenen OU zusammen­zufassen. Die Administration dieser organisa­torischen Einheit sollte spezifischen PAW-Administratoren vorbehalten bleiben.

    Microsoft veröffentlichte auf der TechNet Gallery einige Ressourcen, die Anwender bei der Umsetzung dieses Konzepts helfen sollen. Dazu zählen Scripts für das Einrichten der OU und der Gruppen im AD, zur Delegierung von Rechten an diese Gruppen sowie eine Proxy-Konfigurations­datei. Das Regelwerk für die Firewall wurde vor einem halben Jahr wegen Problemen entfernt, aber bis dato nicht aktualisiert.

    Keine Kommentare