Fachartikel

Missbrauch privilegierter Accounts verhindern (3)

IT-Administratoren genießen in der Regel das volle Vertrauen ihrer Vorgesetzten und auch der Mitarbeiter ihrer Organisation. Das muss auch so sein, denn bekanntermaßen haben Personen mit Systemadministrationsrechten Zugriff auf praktisch alle Informationen und Daten, die auf den von ihnen verwalteten Systemen gespeichert sind. Nun sind etliche Sicherheitsvorfälle der vergangenen Jahre gerade auf den Missbrauch solch privilegierter Zugänge zurückzuführen. Ein belastbares IT-Sicherheitskonzept muss diese Problematik berücksichtigen und Maßnahmen für eine sichere IT-Administration sicherstellen. Im dritten Teil des Workshops stellen wir nach einem kurzen Blick auf Privileged Access Management im AD einige Werkzeuge für die Überwachung administrativer Zugriffe vor.
Privilegierte Konten befinden sich leider nicht immer in der Hand derer, die auch verantwortungsvoll damit umgehen.
Privileged Access Management für Active Directory
Das "Privileged Access Management" (PAM) für Active-Directory-Domänendienste ist Bestandteil des Microsoft Identity Manager (MIM) und bietet die Möglichkeit, die Verwendung privilegierter Konten zu isolieren um den privilegierten Zugriff innerhalb einer Active-Directory-Umgebung einzuschränken. PAM adressiert also nicht die missbräuchliche Verwendung administrativer Rechte durch berechtigte Personen, sondern vor allem das Problem der Rechteausweitung durch nicht autorisierte Benutzer.

Wie oben beschrieben ist es per Pass-the-hash derzeit für Angreifer sehr einfach, auf die Admin-Credentials zuzugreifen und diese zur Erweiterung ihrer Rechte einzusetzen. PAM trennt privilegierte Konten von der Active-Directory-Umgebung. Möchte ein Administrator ein privilegiertes Konto verwenden, muss er dies zunächst über das MIM-Webportal oder mit Hilfe der PowerShell anfordern. Ein PAM-Administrator (Rollentrennung) kann die Verwendung dann freigeben oder ablehnen. Erteilt der PAM-Administrator die Genehmigung, erhält das privilegierte Konto Berechtigungen über eine fremde Prinzipalgruppe in einer neuen geschützten Gesamtstruktur (shadow principal) anstatt in der aktuellen Gesamtstruktur des Benutzers. Microsoft stellt unter [3] ein ausführliches, deutschsprachiges How-To für die Einrichtung von PAM zur Verfügung.

Der Microsoft Identity Manager liefert Sicherheit für privilegierte AD-Accounts.

Werkzeuge für die Überwachung administrativer Zugriffe
Abseits der Überwachungsfunktionen der Betriebssysteme haben einige Softwarehersteller zwischenzeitlich ebenfalls den Bedarf für das Monitoring administrativer Zugriffe beziehungsweise das Verhindern des Missbrauchs privilegierter Accounts erkannt. In der Regel bestehen diese Lösungen aus zwei Teilen: Ein Modul verwaltet die (administrativen) Credentials, ein zweites Modul arbeitet als Proxy zwischen dem Administrator und dem eigentlichen Zielsystem und ist für die Überwachung der Sessions zuständig. "Überwachung" bedeutet meist, dass administrative Sitzungen von einem Dritten live mitverfolgt und im Bedarfsfall auch unterbrochen werden können. In der Regel werden dabei sämtliche Aktionen auch in Form eines Videos oder Screenshots mitgeschnitten und manipulationssicher abgelegt.

Einige Produkte erlauben auch das Hinterlegen bestimmter Muster oder Signaturen, die die Ausführung kritischer Befehle oder Aktionen beziehungsweise den Zugriff auf bestimmte Ressourcen automatisch unterbinden. Je nach Hersteller finden sich beide Module unter Umständen auch in einer einzigen Lösung. Die Produkte werden dabei als Hardware- oder Software-Appliance beziehungsweise als reine Software ausgeliefert. Die Hersteller unterstützen verbreitete Remote-Access-Protokolle wie SSH und RDP, einige können aber auch HTTP(S)-, Telnet-, VNC-, Citrix- oder X11-Verbindungen überwachen. Damit sind sie dann nicht nur für die Überwachung administrativer Sitzungen auf Servern, sondern auch für den Einsatz auf Netzwerkgeräten wie Switches und Routern geeignet.

One Identity hat 2018 den auf PAM und Log-Management spezialisierten Sicherheitsanbieter Balabit übernommen. Dessen ursprüngliches Produkt "Shell Control Box" wurde von One Identity bereits zuvor im Rahmen einer OEM-Partnerschaft mit Balabit angeboten. Das Produkt ist zwischenzeitlich unter dem Namen "Safeguard for privileged sessions" in die Software-Suite "One Identity Safeguard" [4] integriert.

Unter dem Markennamen NetIQ vertreibt der Softwarehersteller Microfocus/HPE verschiedene Access- und Authentifizierungs-Lösungen. Der "Privileged Account Manager" [5] ist die Software-Suite der NetIQ-Reihe zur sicheren Passwortverwaltung und Überwachung administrativer Zugriffe. Neben der Überwachung und Aufzeichnung der Protokolle X11, RDP und SSH bietet das Produkt auch einen Credentials Manager zur Verwaltung der administrativen Zugriffe auf Amazon AWS oder OpenStack. Als weitere Besonderheit kann der Privileged Account Manager auch Zugriffe auf Datenbanken von Microsoft SQL Server oder Oracle überwachen. Das schließt unter anderem auch die Echtzeitüberwachung sämtlicher Tastaturanschläge ein.

Der amerikanische Anbieter CyberArk bezeichnet sich selbst als globalen Marktführer im Bereich "Privileged Access Security". Tatsächlich kann das Unternehmen weitaus die meisten Produkte in dieser Sparte vorweisen. Unter dem Sammelbegriff "Privileged Access Security Solution" vereint CyberArk "Enterprise Password Vault", "Privileged Session Manager" [6], "Privileged Threat Analytics", "AppIdentity Manager / Conjur" und "Endpoint Privilege Manager". Für das Monitoring und Recording administrativer Sitzungen zeichnet der Privileged Session Manager verantwortlich. Unterstützt werden verschiedene Betriebssysteme und Virtualisierungsplattformen, Netzwerkgeräte, Datenbanken, Applikationen und Public-Cloud-Umgebungen.

Bomgar bietet seine schlicht "Privileged Access Management" genannte Lösung als physische und virtuelle sowie als Cloud-Appliance an. Für das Monitoring und die Aufzeichnung administrativer Sitzungen bietet der Hersteller einen eigenen Secure Agent oder überwacht Standardprotokolle wie RDP, VNC, Web- und SSH-/Telnet-Verbindungen. Als Zielsysteme kommen daher Windows-, Mac- und Linux-Systeme sowie Netzwerkgeräte und Cloudumgebungen in Frage. Auf Clientseite stehen neben dem Desktopclient für Windows und Linux auch mobile Apps für iOS (Version 7.0 und höher) und Android ab Version 2.3 zur Verfügung. Administratoren können damit auch über Tablets oder Smartphones über die Bomgar-Appliance auf die Zielsysteme zugreifen. "Seamless Credential Injection" integriert auch externe Password-Managementsysteme wie Lieberman Software oder Thycotic Secret Server. Administratoren bekommen die Passworte zur Anmeldung an den Zielsystemen dann nicht mehr im Klartext zu sehen. Sie können damit auch nicht gestohlen oder im Rahmen eines Phishing-Angriffs offenbart werden.

Fazit
Die Vergabe administrativer Berechtigungen an Personen erfordert immer ein Höchstmaß an Vertrauen. Wie in jeder Berufsgruppe gibt es aber natürlich auch unter Systemadministratoren schwarze Schafe, die Vertrauen und Zugriffsrechte zum eigenen Vorteil nutzen. Andererseits sehen sich die scheinbar allmächtigen Administratoren immer wieder auch zu Unrecht dem Vorwurf des Missbrauchs ihrer Zugriffsrechte ausgesetzt. Es ergibt daher für beide Seiten Sinn, Kontrollmechanismen zu etablieren, die privilegierte Zugriffe auf sensible Systeme revisionssicher überwachen. Neben den Bordmitteln der Betriebssysteme stehen für diese Aufgabe ausgereifte Lösungen von spezialisierten Softwareherstellern für das Privilege Access Management zur Verfügung.

Im ersten Teil der Workshopserie erklärten wir, warum Admin-Accounts besonders schützenswert sind und wie Vorsichtsmaßnahmen gegen Missbrauch aussehen können. Im zweiten Teil beschäftigten wir uns mit Verschlüsselung, der technischen Kontrolle administrativer Zugriffe und gezielter Protokollierung im Active Directory.
21.09.2020/jp/ln/Thomas Zeller

Nachrichten

RHEL 8.3: Mehr Automatisierung, Sicherheit und Container-Tools [30.10.2020]

Red Hat stellt sein Enterprise Linux in Version 8.3 vor. Die Neuerungen betreffen unter anderem die Bereiche Automatisierung, Sicherheit und Container-Tools. Dazu gehört eine Erweiterung der Red Hat System Roles, die präskriptive und automatisierte Wege für betriebssystemspezifische Konfigurationen bieten. Zu den neu unterstützten Rollen gehören Kernel- und Log-Einstellungen, SAP HANA und SAP NetWeaver. [mehr]

Sophos startet Rapid Response Service [29.10.2020]

Sophos geht mit seinem neuen "Rapid Response Service" live. Dieser bietet remote und zu einem festen Budget die Identifizierung und Bekämpfung von Sicherheitsvorfällen in einem 45-Tage-Zeitfenster. Unternehmen, die den Service in Anspruch nehmen, steht ein dediziertes und rund um die Uhr einsatzbereites Team aus Security-Experten und Forensikern zur Verfügung, um Angriffe zu stoppen und Eindringlinge aus den Netzwerken zu entfernen. [mehr]

Tipps & Tools

OpenStack Foundation erhält neuen Namen [30.10.2020]

Die OpenStack Foundation geht ihren nächsten Entwicklungsschritt: Analog zur geplanten Ausweitung ihres Tätigkeitsfelds nennt sich das Konsortium in "Open Infrastructure Foundation" um. Statt sich allein auf OpenStack zu konzentrieren, setzt die Firma den Fokus auf den Aufbau von Open-Source-Communities für das weitere Vorantreiben von freier Software zur Unterstützung offener Infrastruktur. [mehr]

Im Test: IONOS Private Cloud [29.10.2020]

Für die flexible Bereitstellung von Rechen- und Speicherkapazität bedienen sich viele Unternehmen Clouddiensten. Amazon Web Services und Microsoft Azure beispielsweise bieten skalierbare Umgebungen, um IT nach Bedarf zu nutzen. Für die Virtualisierung sensibler, interner Server hat sich hingegen die Private Cloud etabliert. Mit IONOS Private Cloud lassen sich auch derartige Daten und Dienste sicher auslagern. Wir haben das Angebot getestet. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen