Admin-Computer (PAW) absichern

Binary
CC0 | Pixabay.com

Microsoft schlägt mit dem Konzept einer „Privileged Administrative Workstation“ (PAW) eine eigene, abgeschottete Workstation für Administrationsaufgaben vor.

Das Problem

Leider ist es weit verbreitet, dass der Systemadministrator mit einem Domain-Admin-Rechten privilegierten Benutzerkonto auf seinem Computer arbeitet und so auch direkt von seinem System via Remote Administration Toolkit (RSAT) Serverdienste verwaltet. Würde dieser Computer durch Malware oder zielgerichtete Hackangriffe kompromittiert werden, ist unmittelbar das gesamte Netzwerk gefährdet. Aus Sicherheitsgründen sollten daher getrennte Konten für normale und administrative Tätigkeiten verwendet werden. Dabei genügt es allerdings nicht, unter einem normalen Benutzerkonto zu arbeiten und Verwaltungstools via RunAs oder UAC mit dem Adminkonto zu privilegieren, da möglicherweise bereits das gesamte System unterwandert wurde.

Lösung: PAW physisch im Rechenzentrum

Microsofts Empfehlung sieht für administrative Tätigkeiten eine eigene Hardware, in einem physisch entsprechend gesicherten Raum vor. Allerdings lässt sich dies aus praktischen Gründen wahrscheinlich nicht oft umsetzen.

Lösung: PAW virtuell im Rechenzentrum

Eine mögliche Lösung wäre ein virtualisiertes Admin-System im Rechenzentrum. Allerdings ist dieser Computer möglicherweise nicht von überall aus erreichbar oder könnte von einem etwaigen Ausfall, den man mit dem System eigentlich beheben möchte, ebenso betroffen sein.

Lösung: User physisch, PAW virtuell

In diesem Szenario würde der Benutzer direkt auf der physischen Hardware des Systemadmin-Computers arbeiten und für administrative Zwecke ein virtualisiertes Admin-System verwenden. Da hier das Benutzer-System via „Privilege Escalation Risk“ das virtualisierte Admin-System gefährdet, kann man eigentlich von keiner Lösung sprechen.

Lösung: User virtuell, PAW physisch

Dieser Ansatz sieht die Admin-Umgebung direkt auf der Hardware und bietet für Benutzertätigkeiten ein virtualisiertes System an. Somit bleiben Malware-Angriffe, die auf den Benutzer abzielen, innerhalb der virtuellen Maschine und können das Administrationssystem nicht gefährden.

Lösung: User virtuell, PAW virtuell

Noch eine Stufe weiter geht die Virtualisierung beider Systeme auf dem persönlichen Computer des Systemadmins. Dabei erhalten Benutzer- und Admin-System jeweils getrennte Virtuelle Maschinen/Umgebungen und laufen auf einem eingeschränkten Virtualisierungssystem. Auf der Hardware läuft nur das sicherheitsoptimierte Betriebssystem und ein Hypervisor (z.B. Hyper-V, Virtualbox, VMware Workstation).

PAW absichern

Nachdem ein getrenntes Administrationssystem geschaffen wurde, beginnt erst die richtige Arbeit: das Absichern.

  • Windows 10 Enterprise Edition verwenden (exklusive Sicherheitsfunktionen, darunter Credential Guard und Device Guard)
  • GPO-Einstellungen der Security Baseline importieren
  • Secure Boot und Bitlocker aktivieren
  • Applikationen whitelisten, nicht genehmigte Programme blockieren
  • Eingehende Netzwerkverbindungen mit der Windows-Firewall blockieren
  • Browser-Zugriff ins Internet blockieren (z.B. durch ungültigen Proxy-Server-Eintrag)
  • Windows-Updates immer möglichst rasch installieren
  • PAW-Benutzer sollten keine lokalen Admin-Rechte besitzen.
  • Administratoren dürfen sich nur mehr an einer PAW anmelden.
  • USB-Ports sollten keine USB-Massenspeicher akzeptieren.

Einige dieser Punkte lassen sich durch entsprechende Scripts abkürzen.

Weitere und ergänzende IT-Sicherheitstipps finden Sie im Blogbeitrag IT-Security-Basics für Unternehmen.

Quellen: WindowsPro.de, Microsoft.com

nach oben