Einführung Active Directory Tiermodell

Als Ergebnis eines Penetration-Tests der Kundenumgebung durch einen IT-Sicherheits-Dienstleister ergaben sich verschiedene Findings in der Infrastuktur. Unter anderem wurde empfohlen das Tiermodell in der Active Directory-Umgebung umzusetzen.

Geleistete Personentage:

8 PT

Projekt:

Das Tiermodell ist Teil der Enhanced Security Admin Environment (ESAE)-Architektur des Herstellers Microsoft, welches inzwischen als veraltet gilt. Das Tiermodell bleibt aber weiterhin eine regelmäßige Umsetzungempfehlung nach IT-Sicherheitstests.

Ziel des Tier-Modells ist es, zu verhindern, dass höher privilegierte Accounts sind sich auf niedrigeren Tier-Level-Systemen anmelden, um das Caching dieser Credentials zu verhindern. Klassische Angriffsszenarien starten oftmals beim Client (Tier 2) und hangeln sich dann mit dort befindlichen höherwertigen Zugangsdaten in höherwertige Systeme (z. B. Server). Sobald der Verzeichnisdienst kompromittiert wurde, ist die Sicherheit der Umgebung nicht mehr gewährleistet.

Anmeldeverhalten im Tiermodell

Da die Auswirkungen auf Tier 1-Level (Applikationsserver) nicht absehbar war, sollte zunächst die Sicherheit der Tier 0-Konten (Verzeichnisdienst, Zertifikatsdienste, Mailservice) für die Tier 2-Clients erhöht werden.

Die Auftrennung der Nutzerkonten von administrativen Konten ist bei Umsetzung des Tiermodells unabdingbar und wird schon lange empfohlen. Die Administratoren erhielten neue Administrationsaccounts für das jeweilige Tier-Level und wurden in die neue Art der Administration eingewiesen.

Die Gruppenrichtlinien wurden als Entwurf mittels Gruppen zur Zuweisung auf die Systeme entwickelt, ein Umsetzungs- und Rollbackplan sowie eine Risikobewertung für das kundenseitige Change Advisory Board erstellt und vorgestellt. Auf Wunsch des CAB sollte der Rollout in Gruppen zeitlich gestreckt umgesetzt werden um mögliche Risiken durch den Rollbackplan zeitnah abfangen zu können.

Nach Ausführung der Tests an kritischen Systemen wurde der Rollout an zwei Tagen in der Woche umgesetzt und das Ergebnis stichprobenartig überprüft.

Die Umsetzung wurde im Rahmen eines Konzepts mit Verweis auf die genutzten Richtlinien, Gruppen und Zuweisung der Hosts in das jeweilige Tiermodell im Dokumentationssystem des Kunden beschrieben.

  • Windows Server 2022
  • Windows Server 2021
  • Windows 10
  • Windows 11
  • Active Directory
  • Gruppenrichtlinien

Herausforderungen:

  • Unklare Nutzung der aktuellen Accounts
  • Schulung der IT-Mitarbeiter mit dem neuen Handling