Verwaltung von Identitäten im Microsoft Windows Server 2016 (Just in Time Administration)

Im zweiten Teil dieses Kapitels geht es heute, wie bereits angekündigt, um Just in Time Administration (JIT) und Multi Factor Authentication (MFA). Nochmal zur Erinnerung die Anforderungen, die man bei der Verwaltung von Identitäten gerne erfüllen würde:

  1. Ein Benutzer nur die administrative Aufgabe durchführen kann, für die er verantwortlich ist, ohne ihm vollständige administrative Rechte zu erteilen und
  2. Dass der Nutzer, der sich gerade anmeldet, wirklich der Nutzer ist, für den er sich ausgibt.

Für die Beantwortung von Punkt 2 kann weiterhin die Multi Factor Authentication (MFA) genutzt werden. Dies ist nicht wirklich neu. Im Gegensatz zum Windows Server 2012 R2 ist jedoch die Einrichtung vereinfacht worden. Mehr dazu jedoch am Ende dieses Artikels.

Just in Time Administration (JIT)

JIT ist vergleichbar mit JEA, jedoch findet hier eine zeitliche Begrenzung der entsprechenden Administrationsrechte statt. JIT ist Teil des Privileged Access Managements (PAM) für Active Directory Domänendienste und ebenfalls PowerShell basiert; d.h. auch hier gibt es keine GUI. PAM ist dabei eine Instanz des Privileged Identity Managements (PIM).

Das folgende Bild veranschaulicht den Aufbau einer Struktur bzw. die einzelnen Schritte, die zur Verwendung von JIT in Verbindung mit PAM benötigt werden.

Die folgende Beschreibung der vier Schritte zur Einrichtung von PAM ist ein Zitat und stammt aus der folgenden Quelle (https://docs.microsoft.com/de-de/microsoft-identity-manager/pam/privileged-identity-management-for-active-directory-domain-services):

  1. Vorbereiten: Bestimmen Sie, welche Gruppen in Ihrer vorhandenen Gesamtstruktur maßgebliche Berechtigungen haben. Erstellen Sie diese Gruppen ohne Mitglieder in der geschützten Gesamtstruktur neu.
  2. Schützen: Richten Sie einen Lebenszyklus- und Authentifizierungsschutz ein, wie z. B. die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA), wenn Benutzer die Just-in-Time-Verwaltung anfordern. Die MFA verhindert programmgesteuerte Angriffe mittels Schadsoftware oder im Anschluss an den Diebstahl von Anmeldeinformationen.
  3. Betreiben: Nachdem die Authentifizierungsvoraussetzungen erfüllt sind und eine Anforderung genehmigt wurde, wird ein Benutzerkonto temporär einer privilegierten Gruppe in der geschützten Gesamtstruktur hinzugefügt. Während eines vorher festgelegten Zeitraums besitzt der Administrator alle Rechte und Zugriffsberechtigungen, die dieser Gruppe zugewiesen sind. Nach Ablauf des Zeitraums wird das Konto aus der Gruppe entfernt.
  4. Überwachen: PAM bietet die Überwachung von, Benachrichtigungen zu und Berichte zu Anforderungen des privilegierten Zugriffs. Sie können den Verlauf privilegierter Zugriffe überprüfen und sehen, wer eine Aktivität ausgeführt hat. Sie können entscheiden, ob die Aktivität zulässig ist oder nicht, und nicht autorisierte Aktivitäten ermitteln, wie z. B. einen Versuch, einen Benutzer direkt einer privilegierten Gruppe in der ursprünglichen Gesamtstruktur hinzuzufügen. Dieser Schritt ist nicht nur wichtig für die Erkennung von Schadsoftware, sondern auch für die Überwachung auf "interne" Angreifer.

In Schritt drei ist die Funktionsweise von JIT kurz erläutert. Auch JIT führt dazu, dass weniger permanente Administratoren benötigt werden.

Multi-Factor Authentication (MFA)

Im vorherigen Abschnitt wurde MFA bereits einmal erwähnt, um einen Authentifizierungsschutz bei der Verwendung von JIT zu erhalten. Mit MFA braucht der Benutzer einen zusätzlichen zweiten Faktor, um sich gegenüber einer Anwendung, einem Dienst oder bevor er Zugriff auf einen Server erhält, zu authentifizieren. Dies ist mittels eines Telefonanrufes, einer SMS oder der „Authenticator“ App von Microsoft möglich. Als vierte Möglichkeit steht die Authentifizierung mittels eines Hardware-Tokens zur Verfügung, auf dem ein One-Time Passwort (OTP) generiert wird.

Bisher musste man, wenn man MFA mit Azure nutzen wollte, einen zusätzlichen MFA Server herunterladen und installieren. Mit Windows Server 2016 kommt jetzt automatisch ein Adapter, mit dem man MFA in Verbindung mit Azure nutzen kann. Man muss also keinen zusätzlichen Server mehr herunterladen. Weitere Verbesserungen sind u.a.:

  • Eine bessere Registrierung von Geräten
  • Integration von Windows Hello und Microsoft Passport

Weitere Verbesserungen findet man unter dem folgenden Link http://techgenix.com/windows-server-2016-alive-part2/

Im vierten und letzten Teil dieser Blogserie wird es darum gehen, wie man einen Diebstahl von Credentials in Verbindung mit Windows Server 2016 abwehren kann. Im speziellen werden wir die zwei Features Credential Guard und Remote Credential Guard betrachten.

Teil 1: Grundlegendes zur Sicherheit im Microsoft Windows Server 2016
Teil 1.1: Sicherheit im Bereich Virtualisierung (Shielded VMs)
Teil 1.2: Sicherheit im Bereich Virtualisierung (Hyper-V Container & Software Defined Networking)
Teil 2: Sicherung des OS
Teil 3.1: Verwaltung von Identitäten (Just Enough Administration)
Teil 3.2: Verwaltung von Identitäten (Just in Time Administration & MFA)
Teil 4: Abwehr von Identitätsdiebstahl (Credential Theft)

Neuen Kommentar schreiben
Durch Absenden dieses Formulars akzeptieren Sie die Mollom Privatsphärenrichtlinie.