Hat sich jemand von euch schon einmal mit AD Tiering und dem privilegierten Zugriff auf Tier 0 Assets beschäftigt? Ich arbeite gerade an einem Konzept, um das in unsere Infrastruktur zu implementieren und habe auch schon einige Whitepaper und Tutorials dazu gelesen, aber ich suche immer noch nach dem roten Faden, wo ich anfangen soll. Im Moment sehe ich den Wald vor lauter Bäumen nicht und hoffe auf eine Möglichkeit das Ganze Schritt für Schritt einzuführen, ohne gleich das volle Programm abspulen zu müssen. Kleine Schritte und genügend Zeit, das Angewandte zu evaluieren. Dann der nächste Schritt.
Ich weiß, das ist ein großes Thema, aber vielleicht hat jemand Erfahrungen gemacht, die er mit anderen teilen möchte.
Eigentlich an beiden, aber ich bin nicht ganz blank. Da es für mich schwierig ist, eine Frage aus großer Flughöhe zu stellen, tauche ich ein wenig in meine Gedanken ein, die mich gerade beschäftigen.
Ich beschäftige mich schon eine ganze Weile mit der PAW und den Tier 0 Admins. Da stellen sich z.B. folgende Fragen. Zur Info, wir sind eine IT-Abteilung mit 10 Leuten, betreuen etwas über 300 User, wobei drei Administratoren für die zentrale IT zuständig sind, also für die Tier 0 Assets zuständig sind. Jeder der drei Administratoren soll einen eigenen Tier 0 Admin und eine eigene PAW (Privileged Access Workstation) bekommen.
Welche Tools benötigt die PAW? (RSAT; Remote Desktop; Powershell mit AD und Exchange Modulen; CMD
Wie sollen die Tools verwaltet werden? (Intune oder komplett ohne Ressourcen aus der Domäne)
Können die Tier 0 PAWs virtuelle Maschinen auf einem dedizierten ESX Host sein?
Darf man von der normalen Admin Workstation aus RDP auf die PAW machen?
Ist es erlaubt, RDP von der PAW auf Tier 0 Server zu machen?
Darf man die Tier 0 Admin Accounts in die Domain Admin Gruppe aufnehmen, wenn man per Policy das Logon auf die Tier 0 Server beschränkt, oder…?
…muss man normale Accounts verwenden und die AD-Struktur entsprechend mit Delegationen für diese Accounts zugänglich machen?
Kann für die Cloud-Administration (Exchange Online, Azure, etc.) der gleiche Account von der gleichen PAW aus verwendet werden oder ist ein separater Account von der gleichen PAW aus sinnvoll?
Ist der Ansatz mit Tier 0 zu beginnen der richtige oder ist es sinnvoller sich von unten nach oben vorzuarbeiten?
Das sind die Fragen, die mich im Moment beschäftigen. Zur Info: Wir sind keine Bank und brauchen keine absolute Sicherheit. Es sollte ein gangbarer Kompromiss gefunden werden, der die Sicherheit erhöht, aber die Benutzbarkeit nicht völlig außer Acht lässt.
ich bin KEIN Experte in dem Umfeld und berate/auditiere i. d. R. deutlich größere Unternehmen. Soweit ich das beurteilen kann sind lediglich ein paar Fragen Risikoabwägungen, die meisten (z. B. alle Admins in eine Gruppe packen) verstoßen gegen die gute Praxis.
Ich bin gerade am Handy und finde es leider nicht, aber es gibt einen Implementierungsleitfaden von Microsoft - den würde ich auch tatsächlich befolgen.
Meine Kollegen aus dem Pentesting freuen sich immer, wenn die Rechteausweitung einfach gemacht wird. Und das solltest du im Blick behalten: Warum mache ich das überhaupt…
Ich kenne den Leitfaden von Microsoft, wahrscheinlich sogar alle oder zumindest die meisten. Was dabei herauskommt, ist eine zugenagelte Infrastruktur, die man entweder der UBS Bank oder Audi oder sonst einem Riesenunternehmen verkaufen könnte.
Wir haben 300 User, ein hybrides AD mit zwei On Premise DCs, ein Entra AD und ein Exchange Online. Wenn ich den strengen Regeln des AD Tiering folge, MUSS jeder Admin eine separate Tier 0 PAW haben, mit der er auf die DCs zugreift. Die jagen mich vom Hof, vor allem diejenigen, die auch Remote-Administrationsaufgaben erledigen müssen. Mein Wunsch wäre ein Kompromiss, der die Sicherheit erhöht - deutlich erhöht - aber auch die Usability so gestaltet, dass jeder mitgehen kann.
Mein Plan sah so aus - oder sieht so aus: Wir installieren einen dedizierten Virtualisierungshost, der in einem eigenen Netzwerksegment liegt, auf das nur die Admin-Arbeitsplätze zugreifen können. Darauf laufen die Tier 0 PAWs (für jeden Admin eine eigene) und von diesem Netzwerk bzw. Host aus darf nur auf die Tier 0 Assets zugegriffen werden. Eventuell ist noch ein gehärteter Jump Host denkbar, der entweder auf diesem Host oder separat läuft und über den die Admins mit ihrer Workstation auf die PAWs zugreifen. MFA etc. sind selbstverständlich. Idealerweise können diese PAWs auch die hybride Infrastruktur (Entra AD etc) erreichen, aber so weit bin ich noch nicht. Die Cloud-Infrastruktur würde ich gerne in einem weiteren Schritt angehen, wenn wir Erfahrungen mit diesem Setup gesammelt haben.
Die Probleme, die ich dabei sehe, sind zum einen, wie bekomme ich Updates auf diesen Host bzw. seine VMs (PAWs, Jumphost) und zum anderen ein Regelbruch, wenn man die Isolation der Tier 0 PAWs streng nach Lehrbuch auslegt (und das tut Microsoft). Dann kommen so Detailgeschichten ins Spiel, z.B. wie wir auf die Tier 0 Assets zugreifen, wenn der Host ausfällt etc. Aber so weit will ich gar nicht denken (Stichwort Breaking-Glass-Admin).
Völlig absurd oder denkbar? Würde das die Probleme für eure Pentester erhöhen, oder ist es das gleiche wie ganz ohne, nur in grün?