von Redaktion IT-A…
Lesezeit
3 Minuten
Missbrauch privilegierter Accounts verhindern (3)
IT-Administratoren genießen in der Regel das volle Vertrauen ihrer Vorgesetzten und auch der Mitarbeiter ihrer Organisation. Das muss auch so sein, denn bekanntermaßen haben Personen mit Systemadministrationsrechten Zugriff auf praktisch alle Informationen und Daten, die auf den von ihnen verwalteten Systemen gespeichert sind. Nun sind etliche Sicherheitsvorfälle der vergangenen Jahre gerade auf den Missbrauch solch privilegierter Zugänge zurückzuführen. Ein belastbares IT-Sicherheitskonzept muss diese Problematik berücksichtigen und Maßnahmen für eine sichere IT-Administration sicherstellen. Im dritten Teil des Workshops stellen wir nach einem kurzen Blick auf Privileged Access Management im AD einige Werkzeuge für die Überwachung administrativer Zugriffe vor.
Privileged Access Management für Active Directory
Werkzeuge für die Überwachung administrativer Zugriffe
Abseits der Überwachungsfunktionen der Betriebssysteme haben einige Softwarehersteller zwischenzeitlich ebenfalls den Bedarf für das Monitoring administrativer Zugriffe beziehungsweise das Verhindern des Missbrauchs privilegierter Accounts erkannt. In der Regel bestehen diese Lösungen aus zwei Teilen: Ein Modul verwaltet die (administrativen) Credentials, ein zweites Modul arbeitet als Proxy zwischen dem Administrator und dem eigentlichen Zielsystem und ist für die Überwachung der Sessions zuständig. "Überwachung" bedeutet meist, dass administrative Sitzungen von einem Dritten live mitverfolgt und im Bedarfsfall auch unterbrochen werden können. In der Regel werden dabei sämtliche Aktionen auch in Form eines Videos oder Screenshots mitgeschnitten und manipulationssicher abgelegt.
Einige Produkte erlauben auch das Hinterlegen bestimmter Muster oder Signaturen, die die Ausführung kritischer Befehle oder Aktionen beziehungsweise den Zugriff auf bestimmte Ressourcen automatisch unterbinden. Je nach Hersteller finden sich beide Module unter Umständen auch in einer einzigen Lösung. Die Produkte werden dabei als Hardware- oder Software-Appliance beziehungsweise als reine Software ausgeliefert. Die Hersteller unterstützen verbreitete Remote-Access-Protokolle wie SSH und RDP, einige können aber auch HTTP(S)-, Telnet-, VNC-, Citrix- oder X11-Verbindungen überwachen. Damit sind sie dann nicht nur für die Überwachung administrativer Sitzungen auf Servern, sondern auch für den Einsatz auf Netzwerkgeräten wie Switches und Routern geeignet.
One Identity hat 2018 den auf PAM und Log-Management spezialisierten Sicherheitsanbieter Balabit übernommen. Dessen ursprüngliches Produkt "Shell Control Box" wurde von One Identity bereits zuvor im Rahmen einer OEM-Partnerschaft mit Balabit angeboten. Das Produkt ist zwischenzeitlich unter dem Namen "Safeguard for privileged sessions" in die Software-Suite "One Identity Safeguard" [4] integriert.
Unter dem Markennamen NetIQ vertreibt der Softwarehersteller Microfocus/HPE verschiedene Access- und Authentifizierungs-Lösungen. Der "Privileged Account Manager" [5] ist die Software-Suite der NetIQ-Reihe zur sicheren Passwortverwaltung und Überwachung administrativer Zugriffe. Neben der Überwachung und Aufzeichnung der Protokolle X11, RDP und SSH bietet das Produkt auch einen Credentials Manager zur Verwaltung der administrativen Zugriffe auf Amazon AWS oder OpenStack. Als weitere Besonderheit kann der Privileged Account Manager auch Zugriffe auf Datenbanken von Microsoft SQL Server oder Oracle überwachen. Das schließt unter anderem auch die Echtzeitüberwachung sämtlicher Tastaturanschläge ein.
Der amerikanische Anbieter CyberArk bezeichnet sich selbst als globalen Marktführer im Bereich "Privileged Access Security". Tatsächlich kann das Unternehmen weitaus die meisten Produkte in dieser Sparte vorweisen. Unter dem Sammelbegriff "Privileged Access Security Solution" vereint CyberArk "Enterprise Password Vault", "Privileged Session Manager" [6], "Privileged Threat Analytics", "AppIdentity Manager / Conjur" und "Endpoint Privilege Manager". Für das Monitoring und Recording administrativer Sitzungen zeichnet der Privileged Session Manager verantwortlich. Unterstützt werden verschiedene Betriebssysteme und Virtualisierungsplattformen, Netzwerkgeräte, Datenbanken, Applikationen und Public-Cloud-Umgebungen.
Bomgar bietet seine schlicht "Privileged Access Management" genannte Lösung als physische und virtuelle sowie als Cloud-Appliance an. Für das Monitoring und die Aufzeichnung administrativer Sitzungen bietet der Hersteller einen eigenen Secure Agent oder überwacht Standardprotokolle wie RDP, VNC, Web- und SSH-/Telnet-Verbindungen. Als Zielsysteme kommen daher Windows-, Mac- und Linux-Systeme sowie Netzwerkgeräte und Cloudumgebungen in Frage. Auf Clientseite stehen neben dem Desktopclient für Windows und Linux auch mobile Apps für iOS (Version 7.0 und höher) und Android ab Version 2.3 zur Verfügung. Administratoren können damit auch über Tablets oder Smartphones über die Bomgar-Appliance auf die Zielsysteme zugreifen. "Seamless Credential Injection" integriert auch externe Password-Managementsysteme wie Lieberman Software oder Thycotic Secret Server. Administratoren bekommen die Passworte zur Anmeldung an den Zielsystemen dann nicht mehr im Klartext zu sehen. Sie können damit auch nicht gestohlen oder im Rahmen eines Phishing-Angriffs offenbart werden.
Fazit
Die Vergabe administrativer Berechtigungen an Personen erfordert immer ein Höchstmaß an Vertrauen. Wie in jeder Berufsgruppe gibt es aber natürlich auch unter Systemadministratoren schwarze Schafe, die Vertrauen und Zugriffsrechte zum eigenen Vorteil nutzen. Andererseits sehen sich die scheinbar allmächtigen Administratoren immer wieder auch zu Unrecht dem Vorwurf des Missbrauchs ihrer Zugriffsrechte ausgesetzt. Es ergibt daher für beide Seiten Sinn, Kontrollmechanismen zu etablieren, die privilegierte Zugriffe auf sensible Systeme revisionssicher überwachen. Neben den Bordmitteln der Betriebssysteme stehen für diese Aufgabe ausgereifte Lösungen von spezialisierten Softwareherstellern für das Privilege Access Management zur Verfügung.
jp/ln/Thomas Zeller
[3] https://docs.microsoft.com/de-de/microsoft-identity-manager/pam/privileged-identity-management-for-active-directory-domain-services
[4] www.oneidentity.com/one-identity-safeguard/
[5] www.microfocus.com/en-us/products/netiq-privileged-account-manager/overview
[6] www.cyberark.com/products/privileged-account-security-solution/privileged-session-manager/
Das "Privileged Access Management" (PAM) für Active-Directory-Domänendienste ist Bestandteil des Microsoft Identity Manager (MIM) und bietet die Möglichkeit, die Verwendung privilegierter Konten zu isolieren um den privilegierten Zugriff innerhalb einer Active-Directory-Umgebung einzuschränken. PAM adressiert also nicht die missbräuchliche Verwendung administrativer Rechte durch berechtigte Personen, sondern vor allem das Problem der Rechteausweitung durch nicht autorisierte Benutzer.
Wie oben beschrieben ist es per Pass-the-hash derzeit für Angreifer sehr einfach, auf die Admin-Credentials zuzugreifen und diese zur Erweiterung ihrer Rechte einzusetzen. PAM trennt privilegierte Konten von der Active-Directory-Umgebung. Möchte ein Administrator ein privilegiertes Konto verwenden, muss er dies zunächst über das MIM-Webportal oder mit Hilfe der PowerShell anfordern. Ein PAM-Administrator (Rollentrennung) kann die Verwendung dann freigeben oder ablehnen. Erteilt der PAM-Administrator die Genehmigung, erhält das privilegierte Konto Berechtigungen über eine fremde Prinzipalgruppe in einer neuen geschützten Gesamtstruktur (shadow principal) anstatt in der aktuellen Gesamtstruktur des Benutzers. Microsoft stellt unter [3] ein ausführliches, deutschsprachiges How-To für die Einrichtung von PAM zur Verfügung.
Der Microsoft Identity Manager liefert Sicherheit für privilegierte AD-Accounts.
Abseits der Überwachungsfunktionen der Betriebssysteme haben einige Softwarehersteller zwischenzeitlich ebenfalls den Bedarf für das Monitoring administrativer Zugriffe beziehungsweise das Verhindern des Missbrauchs privilegierter Accounts erkannt. In der Regel bestehen diese Lösungen aus zwei Teilen: Ein Modul verwaltet die (administrativen) Credentials, ein zweites Modul arbeitet als Proxy zwischen dem Administrator und dem eigentlichen Zielsystem und ist für die Überwachung der Sessions zuständig. "Überwachung" bedeutet meist, dass administrative Sitzungen von einem Dritten live mitverfolgt und im Bedarfsfall auch unterbrochen werden können. In der Regel werden dabei sämtliche Aktionen auch in Form eines Videos oder Screenshots mitgeschnitten und manipulationssicher abgelegt.
Einige Produkte erlauben auch das Hinterlegen bestimmter Muster oder Signaturen, die die Ausführung kritischer Befehle oder Aktionen beziehungsweise den Zugriff auf bestimmte Ressourcen automatisch unterbinden. Je nach Hersteller finden sich beide Module unter Umständen auch in einer einzigen Lösung. Die Produkte werden dabei als Hardware- oder Software-Appliance beziehungsweise als reine Software ausgeliefert. Die Hersteller unterstützen verbreitete Remote-Access-Protokolle wie SSH und RDP, einige können aber auch HTTP(S)-, Telnet-, VNC-, Citrix- oder X11-Verbindungen überwachen. Damit sind sie dann nicht nur für die Überwachung administrativer Sitzungen auf Servern, sondern auch für den Einsatz auf Netzwerkgeräten wie Switches und Routern geeignet.
One Identity hat 2018 den auf PAM und Log-Management spezialisierten Sicherheitsanbieter Balabit übernommen. Dessen ursprüngliches Produkt "Shell Control Box" wurde von One Identity bereits zuvor im Rahmen einer OEM-Partnerschaft mit Balabit angeboten. Das Produkt ist zwischenzeitlich unter dem Namen "Safeguard for privileged sessions" in die Software-Suite "One Identity Safeguard" [4] integriert.
Unter dem Markennamen NetIQ vertreibt der Softwarehersteller Microfocus/HPE verschiedene Access- und Authentifizierungs-Lösungen. Der "Privileged Account Manager" [5] ist die Software-Suite der NetIQ-Reihe zur sicheren Passwortverwaltung und Überwachung administrativer Zugriffe. Neben der Überwachung und Aufzeichnung der Protokolle X11, RDP und SSH bietet das Produkt auch einen Credentials Manager zur Verwaltung der administrativen Zugriffe auf Amazon AWS oder OpenStack. Als weitere Besonderheit kann der Privileged Account Manager auch Zugriffe auf Datenbanken von Microsoft SQL Server oder Oracle überwachen. Das schließt unter anderem auch die Echtzeitüberwachung sämtlicher Tastaturanschläge ein.
Der amerikanische Anbieter CyberArk bezeichnet sich selbst als globalen Marktführer im Bereich "Privileged Access Security". Tatsächlich kann das Unternehmen weitaus die meisten Produkte in dieser Sparte vorweisen. Unter dem Sammelbegriff "Privileged Access Security Solution" vereint CyberArk "Enterprise Password Vault", "Privileged Session Manager" [6], "Privileged Threat Analytics", "AppIdentity Manager / Conjur" und "Endpoint Privilege Manager". Für das Monitoring und Recording administrativer Sitzungen zeichnet der Privileged Session Manager verantwortlich. Unterstützt werden verschiedene Betriebssysteme und Virtualisierungsplattformen, Netzwerkgeräte, Datenbanken, Applikationen und Public-Cloud-Umgebungen.
Bomgar bietet seine schlicht "Privileged Access Management" genannte Lösung als physische und virtuelle sowie als Cloud-Appliance an. Für das Monitoring und die Aufzeichnung administrativer Sitzungen bietet der Hersteller einen eigenen Secure Agent oder überwacht Standardprotokolle wie RDP, VNC, Web- und SSH-/Telnet-Verbindungen. Als Zielsysteme kommen daher Windows-, Mac- und Linux-Systeme sowie Netzwerkgeräte und Cloudumgebungen in Frage. Auf Clientseite stehen neben dem Desktopclient für Windows und Linux auch mobile Apps für iOS (Version 7.0 und höher) und Android ab Version 2.3 zur Verfügung. Administratoren können damit auch über Tablets oder Smartphones über die Bomgar-Appliance auf die Zielsysteme zugreifen. "Seamless Credential Injection" integriert auch externe Password-Managementsysteme wie Lieberman Software oder Thycotic Secret Server. Administratoren bekommen die Passworte zur Anmeldung an den Zielsystemen dann nicht mehr im Klartext zu sehen. Sie können damit auch nicht gestohlen oder im Rahmen eines Phishing-Angriffs offenbart werden.
Fazit
Die Vergabe administrativer Berechtigungen an Personen erfordert immer ein Höchstmaß an Vertrauen. Wie in jeder Berufsgruppe gibt es aber natürlich auch unter Systemadministratoren schwarze Schafe, die Vertrauen und Zugriffsrechte zum eigenen Vorteil nutzen. Andererseits sehen sich die scheinbar allmächtigen Administratoren immer wieder auch zu Unrecht dem Vorwurf des Missbrauchs ihrer Zugriffsrechte ausgesetzt. Es ergibt daher für beide Seiten Sinn, Kontrollmechanismen zu etablieren, die privilegierte Zugriffe auf sensible Systeme revisionssicher überwachen. Neben den Bordmitteln der Betriebssysteme stehen für diese Aufgabe ausgereifte Lösungen von spezialisierten Softwareherstellern für das Privilege Access Management zur Verfügung.
Im ersten Teil der Workshopserie erklärten wir, warum Admin-Accounts besonders
schützenswert sind und wie Vorsichtsmaßnahmen gegen Missbrauch aussehen
können. Im zweiten Teil beschäftigten wir uns mit Verschlüsselung, der technischen Kontrolle administrativer Zugriffe und gezielter Protokollierung im Active Directory.
jp/ln/Thomas Zeller
[3] https://docs.microsoft.com/de-de/microsoft-identity-manager/pam/privileged-identity-management-for-active-directory-domain-services
[4] www.oneidentity.com/one-identity-safeguard/
[5] www.microfocus.com/en-us/products/netiq-privileged-account-manager/overview
[6] www.cyberark.com/products/privileged-account-security-solution/privileged-session-manager/
