{"id":412,"date":"2023-02-03T19:15:27","date_gmt":"2023-02-03T18:15:27","guid":{"rendered":"http:\/\/www.tippex.net\/?p=412"},"modified":"2023-04-21T13:39:49","modified_gmt":"2023-04-21T11:39:49","slug":"active-directory-sicherer-zugriff-teil-1","status":"publish","type":"post","link":"https:\/\/www.tippex.net\/?p=412","title":{"rendered":"Active Directory: Sicherer Zugriff"},"content":{"rendered":"\n

Einleitung:<\/strong><\/p>\n\n\n\n

In diesem Tutorial m\u00f6chte ich euch zeigen, wie ihr den Zugriff auf Server und Workstations sicherer gestaltet. Dabei kommen Teile des sog. Tiering Konzepts zum Einsatz. Dieses Konzept ist ein Stufenmodell und beschreibt ein Unternehmenszugriffsmodell welches, rel. einfach ausgedr\u00fcckt, den sicheren Zugriff auf Unternehmensresourcen, insbesondere von Servern und Workstations regelt bzw. darstellt und verhindern soll, dass unn\u00f6tig Rechte ausgeweitet werden k\u00f6nnen. So soll z.B. verhindert werden, dass Workstation Admins ( Tier 2 ) Zugriff auf das h\u00f6her liegende Tier 1 bekommen, in dem sich z.B. Server befinden. W\u00fcrde ein sog. Tier 2 Adminzugriff kompromittiert werden, so k\u00f6nnte es schwieriger zu einer Rechte Eskalation f\u00fchren. Anders herum soll z.B. ein Tier 1 Zugriff auch nicht auf das dar\u00fcber liegende Tier 0, bzw. das darunter liegende Tier 2 bekommen. Rechte sollen so weit und gut es geht abgegrenzt werden.<\/p>\n\n\n\n

Das Tiering Modell wird von Microsoft bereits als Legacy bezeichnet, da es offiziell vom „Enterp<\/a>r<\/a>ise Zugriffsmodell<\/a>“ abgel\u00f6st wurde. Nichtsdestotrotz findet es noch heute f\u00fcr viele Firmen Anwendung, die sich in einem weniger komplexen Umfeld befinden bzw. die sich in einem \u00fcberschaubaren Rahmen was Kosten und Aufwand betrifft bewegen wollen oder m\u00fcssen.<\/p>\n\n\n\n

Grafisch stellt sich das Tiering Modell wie folgt dar:<\/p>\n\n\n\n

\"\"
Quelle: https:\/\/learn.microsoft.com\/de-de\/security\/compass\/privileged-access-access-model<\/a><\/figcaption><\/figure>\n\n\n\n

Im Tier 0 befinden sich in der Regel hoch zu sch\u00fctzende Resourcen, wie z.B. Dom\u00e4nen Controller, oder aber auch z.B. Datenbankserver mit sensiblen (Kunden-)Daten, die Certificate Authority und Radius bzw. NPAS Server<\/p>\n\n\n\n

Tier 1 enth\u00e4lt dann alle weiteren Server, z.B. Printserver, Webserverer usw.<\/p>\n\n\n\n

Tier 2 Mitglieder sind z.B. Arbeitsrechner, Tablets, Smartphones und Drucker.<\/p>\n\n\n\n

PAW: Eine Workstation und Admin pro Tier<\/strong><\/p>\n\n\n\n

In diesem Abschnitt zeige ich euch, wie ihr eine PAW ( Privilged Access Workstation) f\u00fcr Tier 0 einrichtet. Ziel ist es, dass eine Remoteverbindung ( z.B. via RDP ) an einem DC nur \u00fcber diese besonders gesicherte Workstation stattfinden kann. Ihr verbindet euch dann via RDP zur PAW und zwar mit einem normalem und unprivilegierten Nutzer. Von dort aus geht es dann ebenfalls via RDP weiter zum DC, wieder mit einem normalen Nutzerkonto. Arbeiten auf dem DC, die erh\u00f6hte Rechte erfordern, werden dort mit einem separaten Konto durchgef\u00fchrt.<\/p>\n\n\n\n

Ihr k\u00f6nnt die PAW entweder als physischen, oder als VM bereitstellen. In meiner Testumgebung habe ich eine VM genommen. Diese ist mit WIN10 best\u00fcckt und Mitglied der Dom\u00e4ne 23.local<\/p>\n\n\n\n

F\u00fcr diese Tutorial ben\u00f6tigen wir 2 gesonderte RDP User, die \u00fcber keine besonderen Rechte verf\u00fcgen. <\/p>\n\n\n\n

Zugriff zur PAW bekommt der „paw_user“<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

An dieser Stelle richten wir am besten schon die passende AD Struktur ein, damit wir passende GPOs direkt dorthin verlinken k\u00f6nnen. Wir m\u00f6chten via GPO erreichen, dass sich an der PAW Workstation lediglich der paw_user via RDP einloggen kann und kein anderer User. Die Struktur in meiner Umgehung sieht wie folgt aus:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

In der „Users“ OU befinden sich 3 User<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Den paw_user kennen wir bereits. Der „PAW Admin“ wird sp\u00e4ter die Rechte bekommen, auf der PAW als lokaler Admin t\u00e4tig zu werden. Der „RDP ADMIN“ hat das Recht, sich von der PAW auf den DC via RDP zu verbinden.<\/p>\n\n\n\n

In der OU Workstations befindet sich das Computerkonto der PAW.<\/p>\n\n\n\n

Die OU Groups ist zum jetzigen Zeitpunkt nicht bef\u00fcllt.<\/p>\n\n\n\n

Folgende GPOs wirken auf die PAW:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

Activate_RDP:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

In dieser GPO wird u.A auch die Defender Firewall aktiviert. Wer diese nicht nutzt, ben\u00f6tigt diese Einstellungen nicht. Im vorliegenden Bespiel habe ich RDP zus\u00e4tzlich auf das 192.168.178.0\/24 (1) Netz beschr\u00e4nkt. Genauer gesagt, die Firewall filtert Anfragen, die nicht aus dem Netz kommen. RDP wurde aktiviert (2) und die max. Anzahl an Connections (3) wurde auf den Wert 1 gesetzt. F\u00fcr kleine Netzwerke mit nur einem Admin reicht dies aus.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Add_local_Admins:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

In dieser GPO wird der user „Paw Admin“ der lokalen Gruppe der Administratoren hinzugef\u00fcgt (1). Mit dem Item-Level Targeting wird erreicht, dass dies nur auf die PAW (3) wirkt, also andere Computerobjekte in der gleichen OU w\u00fcrden diese Einstellung nicht erben.<\/p>\n\n\n\n

Add_local_RDP_Users:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Mit dieser GPO stellen wir sicher, dass der „paw_user“ (2) Mitglied in der lokalen Gruppe „Remotedesktopbenutzer“ (1) wird. Nur so kann dieser sich sp\u00e4ter am PAW via RDP anmelden.<\/p>\n\n\n\n

Auf der PAW sieht es dann lokal folgenderma\u00dfen aus, sobald diese GPOs \u00fcbernommen wurden.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Obiger Screenshot zeigt, dass auch der „paw_admin“ Zugriff via RDP hat. aus diesem Grund f\u00fcgen wir in der GPO „Add_local_RDP_Users“ folgenden Eintrag hinzu:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Im n\u00e4chsten Schritt konfigurieren wir unseren DC, sodass sich lediglich der User „RDP_Admin“ dort via RDP einloggen darf.<\/p>\n\n\n\n

Dazu loggen wir uns auf DC ein und rufen in der erweiterten Systemsteuerung die Remote-Konfiguration auf.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Den User „rdp_admin“ m\u00fcssen wir an dieser Stelle manuell hinzuf\u00fcgen. Das liegt daran, dass Domain Controller keine lokalen User und Gruppen besitzen und eine solche Konfiguration via GPO daher nicht zum Erfolg f\u00fchrt.<\/p>\n\n\n\n

Auch hier hat der User „administrator“ bereits Zugriff. Dies m\u00fcssen wir, wie im vorherigen Abschnitt, verbieten. Dazu erstellen wir eine GPO innerhalb der OU „Domain Controllers“ mit Namen „Disable_RDP_Users“. <\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Sobald diese GPO greift ist nur noch „rdp_admin“ in der Lage, sich via RDP einzuloggen.<\/p>\n\n\n\n

Nun m\u00fcssen wir noch einschr\u00e4nken, dass nur die PAW via RDP auf den DC durchkommt. Dies geschieht durch Konfiguration der Firewall. Wir erstellen innerhalb der OU „Domain Controllers“ eine neue OU mit folgenden Einstellungen:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Die dort gezeigte IP die die der PAW. Diese muss nat\u00fcrlich fix sein.<\/p>\n\n\n\n

In diesem Teil habe ich euch gezeigt, wie Ihr eine Privileged Access Workstation einrichtet, um mit ihr Remote auf einen DC zu gelangen. Dies war nur der Anfang, denn die Workstation muss noch besser abgesichert werden. Dies geschieht mithilfe der Microsoft Security Baselines f\u00fcr WIN 10 Workstations. Wie genau diese Absicherung erfolgt erfahrt Ihr in einem weiteren Tutorial.<\/p>\n","protected":false},"excerpt":{"rendered":"

Einleitung: In diesem Tutorial m\u00f6chte ich euch zeigen, wie ihr den Zugriff auf Server und Workstations sicherer gestaltet. Dabei kommen Teile des sog. Tiering Konzepts zum Einsatz. Dieses Konzept ist ein Stufenmodell und beschreibt ein Unternehmenszugriffsmodell welches, rel. einfach ausgedr\u00fcckt, den sicheren Zugriff auf Unternehmensresourcen, insbesondere von Servern und Workstations regelt bzw. darstellt und verhindern […]<\/p>\n","protected":false},"author":1,"featured_media":48,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[17,5,39],"tags":[40],"class_list":["post-412","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security","category-windows","category-windows-server","tag-paw","wpbf-post"],"_links":{"self":[{"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/posts\/412","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.tippex.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=412"}],"version-history":[{"count":28,"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/posts\/412\/revisions"}],"predecessor-version":[{"id":516,"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/posts\/412\/revisions\/516"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/media\/48"}],"wp:attachment":[{"href":"https:\/\/www.tippex.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=412"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.tippex.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=412"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.tippex.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=412"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}