Freigeben über

Erweiterte Sicherheitsadministratorumgebung

  • Artikel

Die ARCHITEKTUR der erweiterten Sicherheitsadministratorumgebung (ESAE) (häufig als rote Gesamtstruktur, Administratorgesamtstruktur oder gehärtete Gesamtstruktur bezeichnet) ist ein Legacyansatz, um eine sichere Umgebung für Windows Server Active Directory (AD)-Administratoridentitäten bereitzustellen.

Die Empfehlung von Microsoft, dieses Architekturmuster zu verwenden, wurde durch die moderne Strategie für privilegierten Zugriff und schnellen Modernisierungsplans (RAMP) ersetzt, Anleitungen als standard empfohlene Vorgehensweise für die Sicherung privilegierter Benutzer. Dieser Leitfaden soll eine umfassendere Strategie für den Übergang zu einer Zero Trust-Architektureinschließen. Angesichts dieser modernisierten Strategien wird die gehärtete Architektur der verwaltungstechnischen Gesamtstruktur (lokal oder cloudbasiert) nun als eine benutzerdefinierte Konfiguration betrachtet, die nur für Ausnahmefälle geeignet ist.

Szenarien für die fortgesetzte Verwendung

Obwohl es nicht mehr eine empfohlene Architektur ist, kann ESAE (oder einzelne Komponenten darin) in einem begrenzten Satz von ausgenommenen Szenarien weiterhin gültig sein. In der Regel sind diese lokalen Umgebungen isoliert, in denen Clouddienste möglicherweise nicht verfügbar sind. In diesem Szenario kann es sich um kritische Infrastruktur oder andere nicht verbundene OT-Umgebungen (Operational Technology) handeln. Es ist jedoch zu beachten, dass in der Regel keine eigenen Active Directory-Bereitstellungen verwendet werden, die durch die Luft gespaltene Industriesteuerungssystem/Aufsichtssteuerung und -erfassung (ICS/SCADA) Segmente der Umgebung nutzen.

Wenn Sich Ihre Organisation in einem dieser Szenarien befindet, kann die Aufrechterhaltung einer derzeit bereitgestellten ESAE-Architektur in ihrer Gesamtheit weiterhin gültig sein. Es muss jedoch verstanden werden, dass Ihre Organisation aufgrund der erhöhten technischen Komplexität und der Betriebskosten für die Aufrechterhaltung des ESAE zusätzliche Risiken verursacht. Microsoft empfiehlt jeder Organisation, die noch ESAE oder andere Ältere Identitätssicherheitskontrollen verwendet, zusätzliche Strenge anzuwenden, um alle damit verbundenen Risiken zu überwachen, zu identifizieren und zu mindern.

Anmerkung

Microsoft empfiehlt zwar kein isoliertes gehärtetes Gesamtstrukturmodell für die meisten Szenarien in den meisten Organisationen mehr, aber Microsoft arbeitet aufgrund der extremen Sicherheitsanforderungen für die Bereitstellung vertrauenswürdiger Clouddienste für Organisationen auf der ganzen Welt weiterhin eine ähnliche Architektur (und zugehörige Supportprozesse und Mitarbeiter).

Leitfaden für vorhandene Bereitstellungen

Für Kunden, die diese Architektur bereits bereitgestellt haben, um die Sicherheit zu verbessern und/oder die Verwaltung mit mehreren Gesamtstrukturen zu vereinfachen, ist es nicht dringend erforderlich, eine ESAE-Implementierung zurückzuziehen oder zu ersetzen, wenn sie wie entworfen und beabsichtigt betrieben wird. Wie bei allen Unternehmenssystemen sollten Sie die Software beibehalten, indem Sie Sicherheitsupdates anwenden und sicherstellen, dass die Software innerhalb Supportlebenszyklusist.

Microsoft empfiehlt organisationen mit ESAE/gehärteten Gesamtstrukturen auch die moderne Strategie für privilegierten Zugriff unter Verwendung des schnellen Modernisierungsplans (RAMP) Anleitungen zu übernehmen. Dieser Leitfaden ergänzt eine bestehende ESAE-Implementierung und bietet angemessene Sicherheit für Rollen, die nicht bereits von ESAE geschützt sind, einschließlich Microsoft Entra-Administratoren, sensiblen Geschäftsbenutzern und Standardbenutzern des Unternehmens. Weitere Informationen finden Sie im Artikel Sichern von Sicherheitsstufen für privilegierten Zugriff.

Als ESAE ursprünglich vor mehr als 10 Jahren entwickelt wurde, war der Fokus lokale Umgebungen mit Active Directory (AD) als lokaler Identitätsanbieter. Dieser Legacyansatz basiert auf Makrosegmentierungstechniken, um geringste Rechte zu erzielen und berücksichtigt nicht angemessen hybride oder cloudbasierte Umgebungen. Darüber hinaus konzentrieren sich ESAE- und gehärtete Gesamtstrukturimplementierungen nur auf den Schutz lokaler Windows Server Active Directory-Administratoren (Identitäten) und berücksichtigen nicht feinkörnige Identitätssteuerelemente und andere Techniken, die in den verbleibenden Säulen einer modernen Zero-Trust Architektur enthalten sind. Microsoft hat seine Empfehlung auf cloudbasierte Lösungen aktualisiert, da sie schneller bereitgestellt werden können, um einen breiteren Umfang von administrativen und geschäftlichen Rollen und Systemen zu schützen. Darüber hinaus sind sie weniger komplex, skalierbar und erfordern weniger Kapitalinvestitionen, um zu warten.

Anmerkung

Obwohl ESAE in seiner Gesamtheit nicht mehr empfohlen wird, stellt Microsoft fest, dass viele darin enthaltene Einzelkomponenten als gute Cyberhygiene definiert sind (z. B. dedizierte Privileged Access Workstations). Die Veraltetkeit von ESAE ist nicht dazu gedacht, Organisationen dazu zu bringen, gute Cyberhygienepraktiken aufzugeben, nur um aktualisierte Architekturstrategien zum Schutz privilegierter Identitäten zu verstärken.

Beispiele für gute Cyberhygienepraktiken in ESAE, die für die meisten Organisationen gelten

  • Verwenden von Arbeitsstationen mit privilegiertem Zugriff (PAWs) für alle administrativen Aktivitäten
  • Erzwingen der tokenbasierten oder mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) für administrative Anmeldeinformationen, auch wenn sie in der gesamten Umgebung nicht weit verbreitet ist
  • Erzwingen des Administrativen Modells mit den geringsten Rechten durch regelmäßige Bewertung der Gruppen-/Rollenmitgliedschaft (erzwungen durch starke Organisationsrichtlinien)

Bewährte Methode zum Sichern von lokalem AD

Wie in Szenarien für fortgesetzte Verwendungbeschrieben, kann es Situationen geben, in denen die Cloudmigration aufgrund unterschiedlicher Umstände nicht erreichbar ist (entweder teilweise oder vollständig). Für diese Organisationen empfiehlt Microsoft, wenn sie noch keine ESAE-Architektur besitzen, die Angriffsfläche von lokalem AD zu reduzieren, indem die Sicherheit für Active Directory und privilegierte Identitäten erhöht wird. Berücksichtigen Sie zwar die folgenden Empfehlungen mit hoher Priorität, aber keine vollständige Liste.

  • Verwenden Sie einen mehrstufigen Ansatz zur Implementierung des Administrativen Modells mit geringsten Berechtigungen:
    • Erzwingen Sie absolute Mindestberechtigungen.
    • Ermitteln, Überprüfen und Überwachen privilegierter Identitäten (starke Bindung an Organisationsrichtlinien).
      • Übermäßige Berechtigungserteilung ist eines der am häufigsten identifizierten Probleme in bewerteten Umgebungen.
    • MFA für Verwaltungskonten (auch wenn sie nicht weit verbreitet in der gesamten Umgebung verwendet werden).
    • Zeitbasierte privilegierte Rollen (übermäßige Konten reduzieren, Genehmigungsprozesse verstärken).
    • Aktivieren und konfigurieren Sie alle verfügbaren Überwachungen für privilegierte Identitäten (benachrichtigen sie über Aktivierung/Deaktivierung, Kennwortzurücksetzung, andere Änderungen).
  • Verwenden von Arbeitsstationen mit privilegiertem Zugriff (PAWs):
    • Verwalten Sie keine PAWs von einem weniger vertrauenswürdigen Host.
    • Verwenden Sie MFA für den Zugriff auf PAWs.
    • Vergessen Sie nicht die physische Sicherheit.
    • Stellen Sie immer sicher, dass PAWs die neuesten und/oder derzeit unterstützten Betriebssysteme ausführen.
  • Verstehen von Angriffspfaden und Konten mit hohem Risiko / Anwendungen:
    • Priorisieren Sie die Überwachung von Identitäten und Systemen, die das größte Risiko darstellen (Ziele der Verkaufschance / hohe Auswirkungen).
    • Wiederverwendung von Kennwörtern zu beseitigen, einschließlich über Betriebssystemgrenzen hinweg (allgemeine Lateral Movement-Technik).
    • Erzwingen Von Richtlinien, die das Risiko erhöhen (Internetbrowsen von gesicherten Arbeitsstationen, lokalen Administratorkonten auf mehreren Systemen usw.).
    • Verringern Sie Anwendungen auf Active Directory/Domänencontrollern (jede hinzugefügte Anwendung ist zusätzliche Angriffsfläche).
      • Vermeiden Sie unnötige Anwendungen.
      • Verschieben Sie Anwendungen, die nach Möglichkeit weiterhin auf andere Workloads von /DC benötigt werden.
  • Unveränderliche Sicherung von Active Directory:
    • Kritische Komponente zur Wiederherstellung von Ransomware-Infektion.
    • Regulärer Sicherungszeitplan.
    • Gespeichert am cloudbasierten oder off-site-Standort, der vom Notfallwiederherstellungsplan vorgegeben wird.
  • Durchführen einer Active Directory-Sicherheitsbewertung:
    • Das Azure-Abonnement ist erforderlich, um die Ergebnisse anzuzeigen (angepasstes Log Analytics-Dashboard).
    • On-Demand- oder Microsoft-Techniker unterstützte Angebote.
    • Überprüfen/Identifizieren von Anleitungen aus der Bewertung.
    • Microsoft empfiehlt die jährliche Durchführung von Bewertungen.

Ausführliche Anleitungen zu diesen Empfehlungen erhalten Sie in den Bewährten Methoden zum Sichern von Active Directory-.

Ergänzende Empfehlungen

Microsoft erkennt, dass einige Entitäten aufgrund unterschiedlicher Einschränkungen möglicherweise nicht in der Lage sind, eine cloudbasierte Zero-Trust-Architektur vollständig bereitzustellen. Einige dieser Einschränkungen wurden im vorherigen Abschnitt erwähnt. Anstelle einer vollständigen Bereitstellung können Organisationen Risiken bewältigen und fortschritte in Richtung Zero-Trust machen und gleichzeitig ältere Geräte oder Architekturen in der Umgebung beibehalten. Zusätzlich zu den oben genannten Anleitungen können die folgenden Funktionen dazu dienen, die Sicherheit Ihrer Umgebung zu stärken und als Ausgangspunkt für die Einführung einer Zero-Trust-Architektur zu dienen.

Microsoft Defender for Identity (MDI)

Microsoft Defender for Identity (MDI) (formal Azure Advanced Threat Protection oder ATP) unterstützt die Microsoft Zero-Trust-Architektur und konzentriert sich auf die Säule der Identität. Diese cloudbasierte Lösung verwendet Signale von lokalen AD- und Microsoft Entra-ID, um Bedrohungen, die Identitäten betreffen, zu identifizieren, zu erkennen und zu untersuchen. MDI überwacht diese Signale, um ungewöhnliches und schädliches Verhalten von Benutzern und Entitäten zu identifizieren. Insbesondere erleichtert MDI die Möglichkeit, den Weg eines Gegners lateraler Bewegung zu visualisieren, indem hervorgehoben wird, wie ein bestimmtes Konto(n) verwendet werden könnte, wenn es kompromittiert wird. Die Verhaltensanalysen von MDI und die Features der Benutzerbasispläne sind wichtige Elemente für die Bestimmung von abnormalen Aktivitäten in Ihrer AD-Umgebung.

Anmerkung

Obwohl MDI Signale von lokalem AD sammelt, ist eine cloudbasierte Verbindung erforderlich.

Microsoft Defender für Internet of Things (D4IoT)

Zusätzlich zu anderen in diesem Dokument beschriebenen Anleitungen können Organisationen, die in einem der oben genannten Szenarien tätig sind, Microsoft Defender for IoT (D4IoT)bereitstellen. Diese Lösung verfügt über einen passiven Netzwerksensor (virtuell oder physisch), der asset discovery, inventory management und risk-based behavior analytics for Internet of Things (IoT) and Operational Technology (OT) umgebungen ermöglicht. Sie kann in lokalen luftgespaltenen oder cloudgebundenen Umgebungen bereitgestellt werden und verfügt über die Kapazität, umfassende Paketüberprüfungen für über 100 ICS/OT proprietäre Netzwerkprotokolle durchzuführen.

Nächste Schritte

Lesen Sie die folgenden Artikel:

  1. Strategie für privilegierten Zugriff
  2. Schnellmodernisierungsplan (RAMP)
  3. bewährte Methoden zum Sichern von Active Directory-