Verwaltung von Identitäten im Microsoft Windows Server 2016 (Just Enough Administration)

Im dritten Teil der Blogartikel Serie zum Thema Sicherheit im Windows Server 2016 geht es heute speziell um die Verwaltung von Identitäten. Genauer gesagt, wie schaffe ich es, dass

  1. ein Benutzer nur die administrative Aufgabe durchführen kann, für die er verantwortlich ist, ohne ihm vollständige administrative Rechte zu erteilen und
  2. der Nutzer, der sich gerade anmeldet, wirklich der Nutzer ist, für den er sich ausgibt.

Dazu gibt es im Windows Server 2016 zwei neue Features, um die Fragestellung von Punkt 1 zu beantworten.

  • Just Enough Administration (JEA)
  • Just in Time Administration (JIT)

Für die Beantwortung von Punkt 2 kann weiterhin die Multi Factor Authentication (MFA) genutzt werden. Zunächst wird jedoch nur Just Enough Administration (JEA) beleuchtet. Just in Time Administration und Multi Factor Authentication (MFA) werden im zweiten Teil des Kapitels „Verwaltung von Identitäten beim Microsoft Windows Server 2016“ Gegenstand der Betrachtung werden.

Just Enough Administration (JEA)

Der Name sagt eigentlich schon alles über die Funktionsweise des Features aus. Ziel ist es, dass ein Benutzer nur die Rechte bekommt, die er wirklich zur Durchführung seiner Aufgabe oder seiner Aufgaben benötigt. Wenn er zum Beispiel für den DNS-Server verantwortlich ist, braucht er keine Berechtigungen für den DHCP-Server. Bisher wurden diesem Benutzer, der Einfachheit halber, meist Domänen Administrator Rechte eingeräumt, was jedoch im Falle eines Diebstahls von Benutzername und Passwort dazu führte, dass der Angreifer vollständige Rechte innerhalb des Netzwerkes besaß und dort beliebige Dinge machen konnte.

JEA ist eine reine PowerShell basierte Sicherheitstechnologie, d.h. wenn man JEA nutzen will, muss der Benutzer zwingend die PowerShell mit den cmdlets nutzen. Eine GUI steht nicht zur Verfügung. Man kann explizit festlegen, welche cmdlets der Benutzer verwenden darf. Dies geschieht entweder durch Wildcards in der Form *dns*, wobei hier alle cmdlets die „dns“ im Namen haben vom Benutzer verwendet werden können, oder durch eine granulare Festlegung von bestimmten cmdlets. In diesem Fall kann der Benutzer auch nur diese nutzen. Auch Funktionen, ob schon vorhanden oder selbst geschriebene, können freigegeben werden. In allen anderen Fällen erscheint eine Fehlermeldung. Die aufgerufenen PowerShell Befehle werden aufgezeichnet und protokolliert, so dass man genau nachverfolgen kann, welche cmdlets vom Benutzer aufgerufen worden sind bzw. welche er versucht hat aufzurufen.

Vorteil dieser Technologie ist es, dass es weniger permanente Administratoren im Netzwerk gibt. Ein Benutzer der JEA nutzen will, muss sich über den sogenannten JEA-Endpunkt anmelden. Standardmäßig ist dieser gesperrt. Hat ein Nutzer sich angemeldet, nutzt er virtuelle Konten auf dem Server, um dort die privilegierten Aktionen auszuführen.

Voraussetzung für die vollständige Nutzung von JEA ist Windows 10 oder Windows Server 2016 in der letzten verfügbaren Version und mindestens PowerShell in der Version 5; besser jedoch Version 5.1.

In Teil 3.2 werden wir uns mit einer weiteren Möglichkeit beschäftigen, wie die Rechte eines Benutzers so weit eingeschränkt werden können, dass er nur die administrative Aufgabe durchführen kann, für die er verantwortlich ist. Und zum Abschluss des Themas „Verwaltung von Identitäten“ werden wir einen kurzen Blick auf Multi Factor Authentication (MFA) werfen.

Teil 1: Grundlegendes zur Sicherheit im Microsoft Windows Server 2016
Teil 1.1: Sicherheit im Bereich Virtualisierung (Shielded VMs)
Teil 1.2: Sicherheit im Bereich Virtualisierung (Hyper-V Container & Software Defined Networking)
Teil 2: Sicherung des OS
Teil 3.1: Verwaltung von Identitäten (Just Enough Administration)
Teil 3.2: Verwaltung von Identitäten (Just in Time Administration & MFA)
Teil 4: Abwehr von Identitätsdiebstahl (Credential Theft)

Neuen Kommentar schreiben
Durch Absenden dieses Formulars akzeptieren Sie die Mollom Privatsphärenrichtlinie.