Schutz privilegierter Konten mit Secure Access Workstations (SAW)

Schutz privilegierter Konten mit Secure Access Workstations (SAW)

08.11.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Implementierung von Secure Access Workstations (SAW), auch bekannt als Privileged Access Workstations (PAW), helfen, um privilegierte Konten und Aufgaben zu schützen. SAWs sind darauf ausgelegt, eine hochsichere und isolierte Computerumgebung zu schaffen und das Risiko einer Kompromittierung hochprivilegierter Konten zu minimieren, die die wertvollsten Ziele für Angreifer sind [1].

Einführung

Die Gefährdung privilegierter Zugangsdaten ist einer der verheerendsten Angriffsvektoren. Der herkömmliche Ansatz, dieselbe Arbeitsstation für Verwaltungs- und Produktivitätsaufgaben (E-Mail, Surfen) zu verwenden, setzt privilegierte Anmeldeinformationen einem inakzeptablen Risiko aus. SAWs lösen dieses Problem, indem sie dedizierte und robuste Computer sind, die ausschließlich für Verwaltungsaufgaben verwendet werden und dem Clean-Source-Prinzip folgen: Ein System mit höherer Sicherheit sollte niemals von einem System mit niedrigerer Sicherheit verwaltet werden [2].

Warum sind SAWs so wichtig?

  • Anmeldeinformationsisolierung: Verhindert, dass privilegierte Anmeldeinformationen weniger sicheren Umgebungen ausgesetzt werden.
  • Reduzierung der Angriffsfläche: Minimiert die auf der Verwaltungsarbeitsstation verfügbaren Angriffsvektoren.
  • Strenge Kontrolle: Ermöglicht die Anwendung strenger Sicherheitsrichtlinien, wie z. B. Anwendungskontrolle, die auf Universal-Workstations unpraktisch wären.

Voraussetzungen

  1. Lizenzierung: Windows 10/11 Enterprise. Für die Verwaltung werden Tools wie Microsoft Intune dringend empfohlen.
  2. Administratorzugriff: Berechtigungen zum Konfigurieren von Sicherheitsrichtlinien (GPO oder Intune).
  3. Dedizierte Hardware oder sichere virtualisierte Umgebung: Physische Computer oder isolierte VMs.

Schritt für Schritt: Implementierung einer SAW

1. Definieren des Tiering-Modells

Das privilegierte Zugriffsmodell von Microsoft kategorisiert Assets in Ebenen. SAW ist unerlässlich, um den Zugang zu den höchsten Ebenen zu schützen:

  • Stufe 0: Direkte Kontrolle der Infrastruktur (Beispiel: Domänencontroller, globale Azure AD-Administratoren).
  • Stufe 1: Server und geschäftskritische Anwendungen.
  • Stufe 2: Endbenutzer-Workstations.

Eine Tier-0-SAW sollte nur zur Verwaltung von Tier-0-Ressourcen verwendet werden.

2. SAW-Bereitstellung und -Härtung

  1. Clean Install: Installieren Sie eine saubere Kopie von Windows 10/11 Enterprise. Installieren Sie keine unnötige Software.
  2. Updates: Wenden Sie alle aktuellen Sicherheitspatches an.
  3. Windows-Firewall: Konfigurieren Sie die Firewall so, dass sie standardmäßig den gesamten eingehenden Datenverkehr blockiert und nur ausgehenden Datenverkehr zulässt, der für Verwaltungsaufgaben unbedingt erforderlich ist (z. B. RDP zu bestimmten Servern, Zugriff auf Cloud-Portale).
  4. Unnötige Dienste deaktivieren: Verwenden Sie PowerShell, um nicht wesentliche Dienste zu deaktivieren. „Powershell # Beispiel zum Deaktivieren des Druckspooler-Dienstes Set-Service -Name "Spooler" -StartupType Deaktiviert Stop-Service -Name „Spooler“ „
  5. Sicherheitsgrundlinien anwenden: Verwenden Sie die Sicherheitsgrundlinien von Microsoft oder CIS (Center for Internet Security), um Hunderte von Sicherheitseinstellungen gleichzeitig über GPO oder Intune anzuwenden.

3. Anwendungskontrolle implementieren

Dies ist eine der wichtigsten Kontrollen an einer SAW. Nur explizit zugelassene Anwendungen sollten ausgeführt werden können.

  • Windows Defender Application Control (WDAC): Dies ist die bevorzugte und sicherste Technologie. WDAC erstellt Code-Integritätsrichtlinien, die auf Kernel-Ebene durchgesetzt werden und die Ausführung nicht autorisierter Software oder Skripts verhindern. Die Konfiguration ist komplexer, bietet aber das höchste Maß an Sicherheit [3].
  • AppLocker: Einfacher zu verwalten, gilt aber als veraltete Technologie mit bekannten Umgehungsmöglichkeiten. Es kann als ergänzende Schicht zu WDAC für bestimmte Szenarien verwendet werden.

Grundlegende Implementierung mit AppLocker (über GPO):

  1. Navigieren Sie zu „Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien zur Anwendungssteuerung > AppLocker“.
  2. Erstellen Sie Standardregeln, um die Dateiausführung zu ermöglichenWindows heult.
  3. Erstellen Sie Regeln, um nur ausführbare Dateien, Skripte und Installationsprogramme für erforderliche Verwaltungstools zuzulassen (z. B. „mmc.exe“, „Remotedesktopverbindung“).
  4. Konfigurieren Sie den Dienst „Application Identity“ so, dass er automatisch gestartet wird.

4. Beschränkung des Zugriffs auf das Internet und lokale Ressourcen

  • Netzwerkisolation: Die SAW muss sich in einem isolierten VLAN oder Netzwerksegment befinden, wobei strenge Firewall-Regeln den ein- und ausgehenden Datenverkehr kontrollieren.
  • Browsing-Blockierung: Der Internetzugriff muss über einen Proxyserver oder eine Firewall blockiert oder zumindest auf eine sehr kleine Liste vertrauenswürdiger Websites (z. B. „portal.azure.com“, „portal.office.com“) beschränkt werden.
  • Blockierung von Wechselmedien: Verwenden Sie Geräterichtlinien, um die Verwendung von USB-Laufwerken und anderen Wechselspeichern zu blockieren.
  • Trennung von Konten: Der SAW-Benutzer muss ein Standardbenutzer auf dem Computer sein, kein lokaler Administrator. Das für die Anmeldung bei SAW verwendete Konto darf nicht dasselbe Konto mit Domänen- oder Cloud-Berechtigungen sein. Eine Erhöhung der Berechtigungen sollte nur erfolgen, wenn eine Verbindung zur Zielressource hergestellt wird (z. B. durch die Verwendung von „runas“ oder durch die Eingabe von Anmeldeinformationen im Verwaltungstool).

5. SAW-Management und Wartung

  • Updates: SAW muss über einen strengen Prozess zum Empfangen und Anwenden von Sicherheitspatches verfügen.
  • Überwachung: SAW muss von Ihrem SIEM (z. B. Microsoft Sentinel) und Ihrer EDR-Lösung (Microsoft Defender for Endpoint) genau überwacht werden. Jede anomale Aktivität sollte eine Warnung mit hoher Priorität auslösen.

Beispiel für den täglichen Gebrauch

  1. Der Administrator meldet sich für Produktivitätsaufgaben (E-Mail, Teams) an seinem Benutzerarbeitsplatz (Stufe 2) an.
  2. Wenn es eine Verwaltungsaufgabe ausführen muss (z. B. einen Domänencontroller verwalten), wechselt es physisch zu seiner SAW (Tier 0) oder stellt über eine sichere Methode eine Verbindung zu dieser her.
  3. In SAW meldet er sich mit seinem Standard-SAW-Benutzerkonto an.
  4. Es öffnet sich das Verwaltungstool (z. B. „Active Directory-Benutzer und -Computer“). Das Tool wird ausgeführt und verwendet beim Herstellen einer Verbindung zum Domänencontroller Ihre Anmeldeinformationen als Domänenadministrator (Tier 0).
  5. Nach Abschluss der Aufgabe schließt er das Tool und meldet sich von SAW ab. Anmeldeinformationen der Stufe 0 wurden niemals außerhalb von SAW eingegeben oder offengelegt.

Fazit

Die Implementierung von Secure Access Workstations ist eine wesentliche Tiefenverteidigungsmaßnahme zum Schutz der „Schlüssel zum Königreich“ einer Organisation. Durch die Isolierung administrativer Aufgaben in einer gehärteten, streng kontrollierten Umgebung unterbrechen SAWs die Angriffskette, die Angreifer nutzen, um Privilegien zu erweitern und seitlich vorzudringen. Obwohl dies Planung und Disziplin erfordert, ist die Investition in die Schaffung einer sicheren Verwaltungsumgebung einer der wichtigsten Schritte, die ein Unternehmen unternehmen kann, um sich vor fortgeschrittenen Cyberangriffen zu schützen.

Referenzen

[1] Microsoft. (2023). Überblick über die Sicherung des privilegierten Zugriffs. [2] Microsoft. (2023). Clean-Source-Prinzip. [3] Microsoft. (2023). Windows Defender-Anwendungssteuerung (WDAC). [4] Microsoft. (2023). Privilegiertes Zugriffsmodell.