Wie ein Bastionswald die Offenlegung von Administratorrechten begrenzt

wenn sie in die falschen Hände fallen. Eine Möglichkeit, die Sicherheit zu erhöhen, besteht darin, einen Bastionswald bereitzustellen.

Wenn es um IT-Sicherheit geht, ist die Bastionskonzept ist nicht neu. Ein Bastion-Host ist beispielsweise ein gehärteter Server, der Anforderungen an eine Back-End-Ressource weiterleitet. Es schützt die Back-End-Server vor verschiedenen Bedrohungen, indem der direkte Zugriff entfernt wird. Ein Bastionswald funktioniert auf ähnliche Weise, indem er eine vertrauliche Ressource, nämlich Active Directory-Verwaltungskonten, abschirmt.

Moderieren des Zugriffs auf privilegierte Anmeldeinformationen

Bastionswälder sind Teil einer PAM-Architektur (Layered Privileged Access Management). Die übergeordnete Idee hinter PAM besteht darin, IT-Mitarbeitern enge Administratorrechte mit einer begrenzten Lebensdauer zu gewähren.

https://www.youtube.com/watch?v=SCpFi3XK5oI

So verschärfen Sie die Kontrollen für den privilegierten Zugriff

Administrative Aktivitäten erfordern normalerweise eine oder mehrere sehr spezifische Berechtigungen. Das Erstellen eines Active Directory-Benutzerkontos erfordert nicht dieselben Berechtigungen wie andere Verwaltungsaufgaben, z. B. das Verwalten einer Gruppenrichtlinieneinstellung.
Außerdem benötigen IT-Mitarbeiter nicht immer Administratorrechte. Wenn ein Administrator keine Verwaltungsaufgaben ausführen muss, kann PAM den privilegierten Zugriff einschränken.

Wie Bastionswälder den Administratorzugriff einschränken

Bastionswälder, die in Windows Server 2016 eingeführt wurden, sind eine Schlüsselkomponente in der PAM-Architektur. Eine Bastion-Gesamtstruktur isoliert privilegierte Konten durch eine Einweg-Vertrauensstellung vom Rest des Active Directory, um es einem Angreifer erheblich zu erschweren, privilegierte Konten zu gefährden.
Eine Bastion-Gesamtstruktur unterscheidet sich von einer vertrauenswürdigen Gesamtstruktur, die privilegierte Konten enthält, da sich ein Administrator nicht bei einem privilegierten Konto anmeldet, um Active Directory-Ressourcen auf die übliche Weise zu verwalten. Stattdessen erteilt PAM nur für eine begrenzte Zeit die für eine bestimmte Verwaltungsaufgabe erforderlichen Berechtigungen.

Eine Bastion-Gesamtstruktur unterscheidet sich von einer vertrauenswürdigen Gesamtstruktur, die privilegierte Konten enthält, da sich ein Administrator nicht bei einem privilegierten Konto anmeldet, um Active Directory-Ressourcen auf die übliche Weise zu verwalten.

Wenn Administratoren in einer PAM-Konfiguration ein Active Directory-Benutzerkonto erstellen müssen, müssen sie auf drei Arten privilegierten Zugriff anfordern: über einen REST-Endpunkt, über das Cmdlet New-PAMRequest oder über die Microsoft Identity Manager-Webdienst-API. Nach der Genehmigung erhält das privilegierte Konto die angeforderte Genehmigung über eine ausländische Hauptgruppe im Bastionswald.
Der interessante Aspekt dieses Sicherheits-Setups ist, dass das Administratorkonto seine Berechtigungen aus einer Gruppenmitgliedschaft in der Bastion-Gesamtstruktur bezieht. Das Konto verfügt über keine nativen erhöhten Berechtigungen in der primären Gesamtstruktur der Organisation.
Wenn Sie der privilegierten Gruppe in der Bastion-Gesamtstruktur ein Administratorkonto hinzufügen, läuft die Gruppenmitgliedschaft schließlich ab. Das Zeitlimit ist festgelegt durch Angabe eines Time-to-Live-Werts im PowerShell Set-ADObject-Cmdlet.

Similar Posts

Leave a Reply