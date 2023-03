Inhaltsverzeichnis Active Directory absichern: Privilegierte Zugriffe managen Änderungen an AD-Struktur und Delegation Weniger Leserechte, weniger Angriffsfläche Gut segmentiert ist halb gewonnen In der Praxis Kreativ wie ein Angreifer Exkurs: Einige Lehren aus dem NotPetya-Angriff auf Maersk Artikel in iX 4/2023 lesen

Die Integration eines Privileged Access Management (PAM) in Microsofts Enterprise Access Model, vielen noch als Tiering-Modell geläufig, kann mehrere Probleme lösen. Durch die Trennung der administrativen Rechte auf den Tiers brauchen die Administratoren je nach Rollenverteilung zusätzliche Benutzerkonten, um nach der Umstellung der Administration auf das Tiering-Modell ihren verschiedenen Aufgaben nachgehen zu können. Das können insgesamt bis zu fünf Benutzerkonten sein, wenn der Administrator in allen drei Tiers aktiv ist und neben seinem regulären Benutzerkonto auch noch ein lokales Administratorkonto auf seinem regulären Client hat.

Die Anforderung, dass diese Benutzerkonten über sehr sichere (und damit lange), einzigartige und nicht in Zusammenhang stehende Passwörter verfügen müssen, macht es nicht einfacher, sich diese zu merken und sie auch regelmäßig zu ändern. Hier kann die Einführung eines PAM-Produkts helfen, die zahlreichen Konten zu verwalten. Der Administrator muss sich dann je nach Implementierung nur noch zwei der fünf Passwörter merken, nämlich das des Benutzerkontos, mit dem er sich am regulären Client anmeldet, und das des Tier-0-Adminkontos, mit dem er sich an der Privileged Access Workstation (PAW) anmeldet. Von dort hat er Zugriff auf das PAM-Werkzeug und die darin enthaltenen Konten.

Hagen Molzer Hagen Molzer ist Leitender Berater bei der cirosec GmbH. In seinen Schwerpunktbereichen Active-Directory- und Windows-Betriebssystem-Sicherheit führt er Penetrationstests, Beratungsprojekte sowie Red-Team-Assessments durch.

Außerdem kann das PAM die regelmäßige Änderung der Passwörter der hochprivilegierten Konten mit besonders langen und kryptischen Passwörtern automatisieren, was die Sicherheit weiter erhöht. Ein gutes PAM-Produkt kann außerdem viele weitere sicherheitsrelevante Probleme beseitigen.