Mit csJEA wird das Tiermodell von Microsoft, das ein Netzwerk in Ebenen einteilt, sicher umgesetzt. Von einer speziellen Arbeitsstation für Administratoren (PAWs – Privileged Access Workstations) wird ein Identity Management System verwendet, um die benötigten Administratoren Konten zur Verfügung zu stellen.

csJEA ist ein enorm wichtiges Administrationswerkzeug, damit Sie Ihre Umgebung per RDP oder mittels Remote Powershell sicher verwalten können.

Microsoft stellt Microsoft LAPS (Local Administrator Password Solution) bzw. Windows LAPS kostenlos zur Verfügung. Dies ist aber keine Management Lösung für die tägliche Arbeit, sondern nur ein FIX damit nicht alle Hosts identische Administratoren Kennwörter haben. Für die tägliche Administration der Host ist diese Software nie gedacht gewesen! 

Problembereich 1: das Administratoren Konto – Domänen Admin Konto

Seit 1993 haben Administratoren den uneingeschränkten Zugriff auf einen Computer. Die Rechte und Privilegien können nicht eingeschränkt werden. 

Für die Verwaltung eines Geräts braucht man ein Administrator-Konto. Jahrzehnte lang arbeiteten wir mit einem Domänen-Administratoren Konto. Wir meldeten uns remote oder lokal an, um Fehler zu beheben, den Host zu warten oder Konfigurationen vorzunehmen. 

Ohne dem MS-Tier-Modell, auf das ich später eingehe, verwendet man meist den Domänen-Administrator um die diversen Arbeiten auf Servern/Host zu erledigen. Leider hat sich der irrige Glaube gebildet, dass nur Domänen-Administratoren für alle Arbeiten in einem Netzwerk berechtigt sind.

Welch ein fataler Irrtum! Es gibt kein einziges Benutzerrecht, dass ein Domänen-Administrator auf einem Server oder einer Workstation zugewiesen wird, weil das Benutzerkonto in der Gruppe der Domänen-Administratoren ist. Nur durch die Mitgliedschaft des Domänen-Admins in der Gruppe der lokalen Administratoren erlangt der die benötigten Berechtigungen auf einem Server/Workstation. 

Einige stellen sich die Frage, ob der Domänen-Admin in der Gruppe der lokalen Administratoren sein muss, damit ein Host oder Server einwandfrei funktioniert. Die Antwort ist – Nein! – wie schon zuvor ausgeführt, es gibt kein Benutzerrecht, welches dem Domänen-Administrator gegeben wird.

Wird der Domänen-Administrator für die Arbeit verwendet, dann wird das On-Prem Netzwerk verseucht. Durch lokale Anmeldung, RDP-Verbindungen, Dienste die hochprivilegierten Benutzerkonten gestartet werden oder Scripts mit Secrets wird es Angreifern sehr, sehr leicht gemacht. Befindet sich der Hash-Wert des Domänen-Administrators auf einem Host, auf dem der Angreifer administrative Rechte hat, dann ist die Domänen verloren – Game over!

Problembereich 2: Zero Touch Deployment

Zusätzlich wurde durch Zero Touch Deployment ein weiteres Problem geschaffen, denn die Kennwörter der lokalen Administratoren sind überall gleich.  Dies spielt den Angreifern direkt in die Hände, denn der Angreifer kann von einem PC zu einem anderen PC „springen“. Man nennt diesen Angriff einen „Pass the Hash“ Attacke. Der Sinn der PtH-Attacke besteht darin, dass der Angreifer nach hoch privilegierten Konten auf einem PC sucht. Derartige Angriffe stellen ein riesiges Problem dar!

Während das früher das Arbeiten mit dem Domänen-Admin kaum Konsequenzen hatte, führt es heute mit dem Zero Touch Deployment dazu, dass Angreifer innerhalb kürzester Zeit das gesamte Netzwerk übernehmen und sich uneingeschränkten Zugriff darauf verschaffen. 

Hat ein Angreifer das gesamte Netzwerk übernommen, holt er sich ein „golden Ticket“.  Diesem Netzwerk nie mehr vertraut werden, auch dann nicht, wenn es vollständig aus einem Backup wiederhergestellt werden kann.

Beide Problembereiche hat Microsoft durch Einführung des sogenannten MS-Tiermodell und Microsoft LAPS / Windows LAPS. Während Microsoft LAPS lediglich ein FIX für identischen Administratoren Kennwörter ist, bietet Microsoft LAPS nun mehr. Zusammengefasst lässt sich jedoch sagen, dass beide Lösungen keine PAM-Lösung für das tägliche Arbeiten im Netz sind. Sie sind und bleiben eine Lösung für das Break-Glass Konto das ausschließlich in Notfällen verwendet wird.

Microsoft hat als Sicherheitskonzept das Tier-Modell eingeführt. Die Grundidee dieses Konzeptes ist, dass das Netzwerk in Sicherheitsschichten, sogenannte Tiers, eingeteilt wird

Administratoren melden sich an den PAWs an und verwenden von dort Administrator-Konten für das jeweilige Tier

Hat man allerdings nur ein Admin-Tier-Konto z.B.: den oben dargestellten Endpoint-Admin dann kann man mit diesem Konto in dem Tier springen. 

Tiering bringt Ebenen und wenn sich die Admins nicht in den falschen Tiers anmelden, dann ist eine Übernahme des Netzwerks schwerer. 

Bedenken Sie aber, dass nicht immer der Domänen-Admin das Ziel eines Angriffs sein muss. Auf den Workstations im Tier 2 melden sich Domänen-Benutzer an. Ein derartiges Konto z. Bsp.: der CEO eines Unternehmens, ein Lehrer/Lehrerin kann ebenso das Ziel es Angriffes werden. 

Was muss eine PAM-Solution leisten:

• Jeder Host/Server wird zu einer BXO, soll heißen, alle Administratorenkennwörter unterscheiden sich.
• Das Kennwort wird laufend z. Bsp.: alle 6 Stunden geändert.
• Die Kennwörter der lokalen Administratoren müssen sicher gespeichert werden z. Bsp.: AD & Datenbank
• Auch länger zurückliegende Kennwörter der Admin-Konten müssen bei einem Restore einer VM z.B. nach 2 Monten einsehbar sein – Thema Kennwort History
• Die App muss Konten für einen RDP oder Remote Powershell Zugriff auf einen Host bereitstellen.
• Die App muss die Möglichkeit schaffen, das per Remote Powershell-Script mit dem zur Verfügung gestellten Admin-Konten auf zig Host zugegriffen werden kann
• Die App darf nur von berechtigten Personen gestartet werden können
• Ein Logbuch für die Verwendung der Admin-Konten mit Beschreibung der Tätigkeit wäre wünschenswert
• Nach Verwendung des Admin-Konto auf einem Tier muss dieses für einen PtH-Angriff wertlos sein. 

csJEA – PAM-Solution

Alle oben genannten Punkte und mehr werden durch die PAM-Solution adressiert und gelöst.

Unter csJEA werden sichere, administrative Konten für ein bestimmtes Tier auf einer PAW ausgecheckt. 

Workflow:

• Es wird ein neues Domänen-Benutzerkonten angelegt. Dieses Konto wird im AD erstellt und dort auch der jeweiligen Tier Gruppe zugewiesen.
• Auf einem oder mehreren Hosts, falls das Konto z. Bsp.: für eine Gruppe von Workstations ausgecheckt wurde, wird das Konto Mitglied in der Gruppe der lokalen Administratoren.
  

• Damit können alle Arbeiten auf Servern/Workstation ohne Einschränkungen durchgeführt werden.  Da das verwendete Konto ein Domänen-Benutzer Konto ist, kann es auch für den Zugriff auf Shares in der Domäne verwendet werden.
• Nach Abschluss der Arbeiten auf dem Host wird das csJEA-Konto eingecheckt, d.h. das Domänen-Benutzerkonto wird im AD und der lokalen Gruppe der Administratoren gelöscht.
  Liegt ein Hashwert dieses Kontos „irgendwo herum“ so ist dieser wertlos, da es das dazugehörende Konto gar nicht mehr gibt.

Damit werden die oben gestellten Anforderungen an ein administratives Arbeitskonto durch csJEA erfüllt.

Aber das ist noch nicht alles: 

• Domänen-Admins können mit csJEA von Workstations/Server jederzeit entfernt oder wieder hinzugefügt werden. Wie bereits zuvor erwähnt, für die Funktionsweise des Hosts oder administrative Arbeiten auf einem Host sind sie absolut nicht notwendig. Ein „irrtümliches“ Anmelden eines Domänen-Admins könnte dann gar nicht passieren. 
• RDP und Win-RM
  Um effizient in einem Netzwerk arbeiten zu können, benutzen Administratoren häufig RDP, Win-RM bzw. Powershell-Remoting. 
  RDP, oder wie Sami Laiho gerne sagt „Ransomware Deployment Protocol“ wird vor allem in Europa deshalb gerne verwendet, weil EuropäerInnen lieber mit grafischen Oberflächen als mit CMD-Lines arbeiten.
  Wenn RDP und Win-Rm für ein effektives in Ihrem Netzwerk notwendig sind, dann sollten diese Verbindungen aber auch effektiv geschützt werden. Dies kann man über Firewall-Richtlinie, IPSec bewerkstelligen – aber wie wäre es, wenn die Ports nur dann offen sind, wenn man sie benötigt!
  Bei Verwendung von csJEA sind RDP/Win-RM Ports geschlossen und werden nur dann auf einem Host geöffnet, wenn csJEA-Konten für einen oder mehrere Hosts ausgecheckt werden. Sind derartige Verbindungen nicht offen, dann können Sie auch nicht angegriffen werden.
• Überwachung der lokalen administrativen Konten und der Standard-Gruppen:
  Gibt es ein lokales Konto, welches in der Gruppe der lokalen Administratoren ist, so zeigt csJEA ein rotes Warnsymbol an! Dies ist sicher nicht erwünscht und nicht nötig. csJEA kann dieses Konto umgehend entfernt werden.

Neben dem lokalen Benutzerkonto „Hacker“ ist auch das Domänen-Benutzer-Konto „Robert“ in der Gruppe der lokalen Administratoren!

• Entfernen der Domänen-Administratoren aus der lokalen Gruppe der Administratoren
  Domänen-Admins haben keine besonderen Privilegien. Nur durch die Mitgliedschaft in der lokalen Gruppe der Administratoren erhalten Sie die notwendigen Rechte einen Host zu administrieren. Mittels csJEA können die Domänen-Admins jederzeit aus der Gruppe der lokalen Administratoren entfernt, aber auch wieder hinzugefügt werden.
• Logbuch
  

Alle Tätigkeiten von Administratoren werden aufgezeichnet und können so jederzeit eingesehen werden.

Anmerkung: Alle Funktionen von csJEA können im Rahmen des Artikels nicht dargestellt werden!

Eine sichere Umgebung mit eine höheren Cyber Resilienz liegt vor, wenn

• Administratoren sich an einer PAW anmelden. Viele Arbeiten im Netzwerk können per RSAT (Remote Server Administration Tools) erledigt werden
• Bei Bedarf verwenden die Administratoren die PAM-Lösung, also csJEA, um Konten für Server oder Workstations auszuchecken
• RDP/WinRm ist auf allen Hosts deaktiviert

Die Gruppe der Domänen-Administratoren sollte aus der Gruppe der lokalen Administratoren entfernt werden. Bei Bedarf z. Bsp.: Verwendung der MMC Dienste und Verbinden auf einen anderen Host kann die Gruppe der Domänen-Admins jederzeit wieder hinzugefügt werden