Fachartikel

Missbrauch privilegierter Accounts verhindern (3)

IT-Administratoren genießen in der Regel das volle Vertrauen ihrer Vorgesetzten und auch der Mitarbeiter ihrer Organisation. Das muss auch so sein, denn bekanntermaßen haben Personen mit Systemadministrationsrechten Zugriff auf praktisch alle Informationen und Daten, die auf den von ihnen verwalteten Systemen gespeichert sind. Nun sind etliche Sicherheitsvorfälle der vergangenen Jahre gerade auf den Missbrauch solch privilegierter Zugänge zurückzuführen. Ein belastbares IT-Sicherheitskonzept muss diese Problematik berücksichtigen und Maßnahmen für eine sichere IT-Administration sicherstellen. Im dritten Teil des Workshops stellen wir nach einem kurzen Blick auf Privileged Access Management im AD einige Werkzeuge für die Überwachung administrativer Zugriffe vor.
Privilegierte Konten befinden sich leider nicht immer in der Hand derer, die auch verantwortungsvoll damit umgehen.
Privileged Access Management für Active Directory
Das "Privileged Access Management" (PAM) für Active-Directory-Domänendienste ist Bestandteil des Microsoft Identity Manager (MIM) und bietet die Möglichkeit, die Verwendung privilegierter Konten zu isolieren um den privilegierten Zugriff innerhalb einer Active-Directory-Umgebung einzuschränken. PAM adressiert also nicht die missbräuchliche Verwendung administrativer Rechte durch berechtigte Personen, sondern vor allem das Problem der Rechteausweitung durch nicht autorisierte Benutzer.

Wie oben beschrieben ist es per Pass-the-hash derzeit für Angreifer sehr einfach, auf die Admin-Credentials zuzugreifen und diese zur Erweiterung ihrer Rechte einzusetzen. PAM trennt privilegierte Konten von der Active-Directory-Umgebung. Möchte ein Administrator ein privilegiertes Konto verwenden, muss er dies zunächst über das MIM-Webportal oder mit Hilfe der PowerShell anfordern. Ein PAM-Administrator (Rollentrennung) kann die Verwendung dann freigeben oder ablehnen. Erteilt der PAM-Administrator die Genehmigung, erhält das privilegierte Konto Berechtigungen über eine fremde Prinzipalgruppe in einer neuen geschützten Gesamtstruktur (shadow principal) anstatt in der aktuellen Gesamtstruktur des Benutzers. Microsoft stellt unter [3] ein ausführliches, deutschsprachiges How-To für die Einrichtung von PAM zur Verfügung.

Der Microsoft Identity Manager liefert Sicherheit für privilegierte AD-Accounts.

Werkzeuge für die Überwachung administrativer Zugriffe
Abseits der Überwachungsfunktionen der Betriebssysteme haben einige Softwarehersteller zwischenzeitlich ebenfalls den Bedarf für das Monitoring administrativer Zugriffe beziehungsweise das Verhindern des Missbrauchs privilegierter Accounts erkannt. In der Regel bestehen diese Lösungen aus zwei Teilen: Ein Modul verwaltet die (administrativen) Credentials, ein zweites Modul arbeitet als Proxy zwischen dem Administrator und dem eigentlichen Zielsystem und ist für die Überwachung der Sessions zuständig. "Überwachung" bedeutet meist, dass administrative Sitzungen von einem Dritten live mitverfolgt und im Bedarfsfall auch unterbrochen werden können. In der Regel werden dabei sämtliche Aktionen auch in Form eines Videos oder Screenshots mitgeschnitten und manipulationssicher abgelegt.

Einige Produkte erlauben auch das Hinterlegen bestimmter Muster oder Signaturen, die die Ausführung kritischer Befehle oder Aktionen beziehungsweise den Zugriff auf bestimmte Ressourcen automatisch unterbinden. Je nach Hersteller finden sich beide Module unter Umständen auch in einer einzigen Lösung. Die Produkte werden dabei als Hardware- oder Software-Appliance beziehungsweise als reine Software ausgeliefert. Die Hersteller unterstützen verbreitete Remote-Access-Protokolle wie SSH und RDP, einige können aber auch HTTP(S)-, Telnet-, VNC-, Citrix- oder X11-Verbindungen überwachen. Damit sind sie dann nicht nur für die Überwachung administrativer Sitzungen auf Servern, sondern auch für den Einsatz auf Netzwerkgeräten wie Switches und Routern geeignet.

One Identity hat 2018 den auf PAM und Log-Management spezialisierten Sicherheitsanbieter Balabit übernommen. Dessen ursprüngliches Produkt "Shell Control Box" wurde von One Identity bereits zuvor im Rahmen einer OEM-Partnerschaft mit Balabit angeboten. Das Produkt ist zwischenzeitlich unter dem Namen "Safeguard for privileged sessions" in die Software-Suite "One Identity Safeguard" [4] integriert.

Unter dem Markennamen NetIQ vertreibt der Softwarehersteller Microfocus/HPE verschiedene Access- und Authentifizierungs-Lösungen. Der "Privileged Account Manager" [5] ist die Software-Suite der NetIQ-Reihe zur sicheren Passwortverwaltung und Überwachung administrativer Zugriffe. Neben der Überwachung und Aufzeichnung der Protokolle X11, RDP und SSH bietet das Produkt auch einen Credentials Manager zur Verwaltung der administrativen Zugriffe auf Amazon AWS oder OpenStack. Als weitere Besonderheit kann der Privileged Account Manager auch Zugriffe auf Datenbanken von Microsoft SQL Server oder Oracle überwachen. Das schließt unter anderem auch die Echtzeitüberwachung sämtlicher Tastaturanschläge ein.

Der amerikanische Anbieter CyberArk bezeichnet sich selbst als globalen Marktführer im Bereich "Privileged Access Security". Tatsächlich kann das Unternehmen weitaus die meisten Produkte in dieser Sparte vorweisen. Unter dem Sammelbegriff "Privileged Access Security Solution" vereint CyberArk "Enterprise Password Vault", "Privileged Session Manager" [6], "Privileged Threat Analytics", "AppIdentity Manager / Conjur" und "Endpoint Privilege Manager". Für das Monitoring und Recording administrativer Sitzungen zeichnet der Privileged Session Manager verantwortlich. Unterstützt werden verschiedene Betriebssysteme und Virtualisierungsplattformen, Netzwerkgeräte, Datenbanken, Applikationen und Public-Cloud-Umgebungen.

Bomgar bietet seine schlicht "Privileged Access Management" genannte Lösung als physische und virtuelle sowie als Cloud-Appliance an. Für das Monitoring und die Aufzeichnung administrativer Sitzungen bietet der Hersteller einen eigenen Secure Agent oder überwacht Standardprotokolle wie RDP, VNC, Web- und SSH-/Telnet-Verbindungen. Als Zielsysteme kommen daher Windows-, Mac- und Linux-Systeme sowie Netzwerkgeräte und Cloudumgebungen in Frage. Auf Clientseite stehen neben dem Desktopclient für Windows und Linux auch mobile Apps für iOS (Version 7.0 und höher) und Android ab Version 2.3 zur Verfügung. Administratoren können damit auch über Tablets oder Smartphones über die Bomgar-Appliance auf die Zielsysteme zugreifen. "Seamless Credential Injection" integriert auch externe Password-Managementsysteme wie Lieberman Software oder Thycotic Secret Server. Administratoren bekommen die Passworte zur Anmeldung an den Zielsystemen dann nicht mehr im Klartext zu sehen. Sie können damit auch nicht gestohlen oder im Rahmen eines Phishing-Angriffs offenbart werden.

Fazit
Die Vergabe administrativer Berechtigungen an Personen erfordert immer ein Höchstmaß an Vertrauen. Wie in jeder Berufsgruppe gibt es aber natürlich auch unter Systemadministratoren schwarze Schafe, die Vertrauen und Zugriffsrechte zum eigenen Vorteil nutzen. Andererseits sehen sich die scheinbar allmächtigen Administratoren immer wieder auch zu Unrecht dem Vorwurf des Missbrauchs ihrer Zugriffsrechte ausgesetzt. Es ergibt daher für beide Seiten Sinn, Kontrollmechanismen zu etablieren, die privilegierte Zugriffe auf sensible Systeme revisionssicher überwachen. Neben den Bordmitteln der Betriebssysteme stehen für diese Aufgabe ausgereifte Lösungen von spezialisierten Softwareherstellern für das Privilege Access Management zur Verfügung.

Im ersten Teil der Workshopserie erklärten wir, warum Admin-Accounts besonders schützenswert sind und wie Vorsichtsmaßnahmen gegen Missbrauch aussehen können. Im zweiten Teil beschäftigten wir uns mit Verschlüsselung, der technischen Kontrolle administrativer Zugriffe und gezielter Protokollierung im Active Directory.
21.09.2020/jp/ln/Thomas Zeller

Nachrichten

Hacker attackieren Asterisk-Umgebungen [1.12.2020]

Check Point warnte bereits zu Beginn des November, dass VoIP-Telefon-Hacks zunehmen und bereits deutsche Unternehmen attackiert wurden. Nun haben Cyberkriminelle offenbar einen neuen Angriffsvekor entdeckt: Asterisk, einen großen Anbieter für digitale Kommunikation und Telefonie. [mehr]

Datenpannen: Schweigen ist Silber, Reden ist Gold [26.11.2020]

Organisationen, die schnell und transparent mit Datenpannen umgehen, erleiden wirtschaftlich wie auch hinsichtlich ihrer Reputation weniger Schaden. Laut einem Kaspersky-Bericht nehmen kleine und mittelgroße Unternehmen, die ihre Stakeholder und die Öffentlichkeit freiwillig über eine Datenschutzverletzung informieren, im Schnitt 40 Prozent weniger finanziellen Schaden als Firmen, bei denen entsprechende Informationen darüber ungeplant an die Medien durchdrangen. [mehr]

Daten unter Verschluss [25.11.2020]

Tipps & Tools

Jetzt schon vorbestellen: Sonderheft vSphere 7 [16.11.2020]

Auch 2021 erwarten Sie neben den zwölf Monatsheften des IT-Administrator wieder zwei unserer beliebten Sonderhefte. Das erste liefert unter dem Titel "VMware vSphere 7 – Server, Netze und Storage virtualisieren" auf 180 Seiten Know-how zur Planung, Verwaltung und Absicherung der neuen vSphere-Version. Nach einer Übersicht der Lizenzformen und Gedanken zum Sizing der vSphere-Landschaft widmet sich das Autorenteam unter anderem ausführlich Fragen der Migration. Das Sonderheft erscheint im April 2021. Abonnenten des IT-Administrator profitieren wie immer von einem Sonderpreis. [mehr]

Im Test: IONOS Private Cloud [29.10.2020]

Für die flexible Bereitstellung von Rechen- und Speicherkapazität bedienen sich viele Unternehmen Clouddiensten. Amazon Web Services und Microsoft Azure beispielsweise bieten skalierbare Umgebungen, um IT nach Bedarf zu nutzen. Für die Virtualisierung sensibler, interner Server hat sich hingegen die Private Cloud etabliert. Mit IONOS Private Cloud lassen sich auch derartige Daten und Dienste sicher auslagern. Wir haben das Angebot getestet. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen