Mittels csJEA wird das MS-Tiermodell mit PAWs (Privileged Access Workstation) und Privileged Access Management kurz PIM, Administratoren implementiert. 

Für die Administration eines Gerätes benötigt man ein Administratoren-Konto. Leider denken noch zu viele, dass man alle Arbeiten nur mit einem Domänen-Admin Konto machen kann. Das war schon immer falsch, hatte aber vor 15 Jahren kaum Folgen. Heute bewirkt es, dass ein Angreifer in weniger als 2 Stunden das Netzwerk „erobern“ und sich ein „golden Ticket“ lösen kann.

Wann immer Sie ein Benutzerkonto für die Administration eines Systems benötigen, checken Sie dieses mittels csJEA aus, verwenden Sie es und nach getaner Arbeit checken Sie das Konto wieder ein. Administrative csJEA-Konten der unterschiedlichen Tier-Ebenen sind deshalb sicher, weil sie nach der Verwendung nicht mehr existieren und deshalb auch nicht missbräuchlich verwendet werden können.

Im Gegensatz zu LAPS – local administrator password solution von Microsoft- das nur ein Quick Fix für das lokale Administratoren Kennwort Problem darstellt, ist csJEA eine Management-Lösung die weit darüber hinausgeht.

Das lokale Administratoren-Kennwort Problem

In einem On-Prem Netzwerk mit einem Standard-Deployment, werden Host per WDS und einem „golden Image“ ausgerollt. Das Problem, alle Workstations haben ein identisches Kennwort für den lokalen Administrator. Gelingt es einen Angreifer administrative Rechte auf einem Host zu erhalten, dann kann er den Hashwert des lokalen Administrators dazu verwenden, dass er sich administrative zu anderen Host im Netzwerk verbindet. Man nennt diesen Vorgang „lateral Movement“ mit „Pass the Hash“ Angriff.

Durch den Einsatz von csJEA in Ihrem Netzwerk, wird beim Hochfahren eines Host bzw. alle sechs Stunden das lokale Kennwort der Administratoren auf allen Workstations/Servern geändert. Die Sicherung der sensiblen Kennwörter erfolgt auf zwei unterschiedliche Arten und kann damit keinesfalls verloren gehen.

Arbeiten mit dem Domänen-Admin

Ohne dem MS-Tier-Modell verwendet man meist den Domänen-Administrator um die diversen Arbeiten auf Servern/Host zu erledigen. Leider hat sich der irrige Glaube gebildet, dass nur Domänen-Administratoren für alle Arbeiten in einem Netzwerk berechtigt sind.

Welch ein fataler Irrtum! Es gibt kein einziges Benutzerrecht, dass ein Domänen-Administrator auf einem Server oder einer Workstation zugewiesen wird, weil das Benutzerkonto in der Gruppe der Domänen-Administratoren ist. Nur durch die Mitgliedschaft des Domänen-Admins in der Gruppe der lokalen Administratoren erlangt der die benötigten Berechtigungen auf einem Server/Workstation. 

Wenige stellen sich die Frage, ob der Domänen-Admin in der Gruppe der lokalen Administratoren sein muss, damit ein Host oder Server einwandfrei funktioniert. Die Antwort ist – Nein! – wie schon zuvor ausgeführt, es gibt kein Benutzerrecht, welches dem Domänen-Administrator gegeben wird.

Wird der Domänen-Administrator für die Arbeit verwendet, dann wird das On-Prem Netzwerk verseucht. Durch lokale Anmeldung, RDP-Verbindungen, Dienste die hochprivilegierten Benutzerkonten gestartet werden oder Scripts mit Secrets wird es Angreifern sehr, sehr leicht gemacht. Befindet sich der Hash-Wert des Domänen-Administrators auf einem Host, auf dem der Angreifer administrative Rechte hat, dann ist die Domänen verloren – Game over!

MS-Tier Modell und die Auswirkungen

Hat ein Angreifer das gesamte Netzwerk übernommen, also ein „golden Ticket gezogen“ dann kann diesem Netzwerk nie mehr vertraut werden, auch dann nicht, wenn es vollständig aus einem Backup wiederhergestellt werden kann.

Microsoft hat dazu das Tier-Modell eingeführt. Die Grundidee dieses Konzeptes ist, dass das Netzwerk in Sicherheitsschichten, sogenannte Tiers, eingeteilt wird

Administratoren dürfen sich nur auf den ihnen zugewiesenen Tiers anmelden und arbeiten. Hat man allerdings nur ein Adminkonto z.B.: den oben dargestellten Endpoint-Admin und arbeitet man mit diesen auf allen Workstations, dann ist auch diese Ebene und alle Benutzer die auf den Workstations arbeiten leicht zu kompromittieren.

Die perfekte Lösung wäre 

• eine Mikrosegmentierung, jeder Host hat sein eigenes Admin-Konto und Kennwort
• das Admin-Konto mit dem auf einem Host gearbeitet werden muss hat eine „begrenzte Lebensdauer“ und existiert nur wenn es gebraucht wird.

Funktionsweise von csJEA bezüglich der PIM-Konten 

Unter csJEA werden sichere, administrative Konten unter Berücksichtigung des MS-Tier Modells auf einer PAW ausgecheckt. Bei diesen Konten handelt es sich um Domänen-Benutzerkonten für ein bestimmtes Tier, die auf dem Host durch Mitgliedschaft in der Gruppe der lokalen Administratoren berechtigt werden. Damit können alle Arbeiten auf Servern/Workstation ohne Einschränkungen durchgeführt werden.  

Nach Abschluss der Arbeiten auf dem Host wird das csJEA-Konto eingecheckt, d.h. das Domänen-Benutzerkonto wird im AD gelöscht. Liegt ein Hashwert dieses Kontos „irgendwo herum“ so ist dieser wertlos, da es das dazugehörende Konto gar nicht mehr gibt.

Damit werden die oben gestellten Anforderungen an ein administratives Arbeitskonto durch csJEA erfüllt. Aber das ist noch nicht alles. Domänen-Admins können mit csJEA von Workstations/Server jederzeit entfernt oder wieder hinzugefügt werden. Wie bereits zuvor erwähnt, für die Funktionsweise des Hosts oder administrative Arbeiten auf einem Host sind sie absolut nicht notwendig. Ein „irrtümliches“ Anmelden eines Domänen-Admins könnte dann gar nicht passieren. 

RDP und Win-RM

Um effizient in einem Netzwerk arbeiten zu können, benutzen Administratoren RDP, Win-RM bzw. Powershell-Remoting. 

RDP, oder wie Sami Laiho gerne sagt „Ransomware Deployment Protocol“ wird vor allem in Europa deshalb gerne verwendet, weil EuropäerInnen lieber mit grafischen Oberflächen als mit CMD-Lines arbeiten.

Wenn RDP und Win-Rm für ein effektives in Ihrem Netzwerk notwendig sind, dann sollten diese Verbindungen aber auch effektiv geschützt werden. Dies kann man über Firewall-Richtlinie, IPSec bewerkstelligen – aber wie wäre es, wenn die Ports nur dann offen sind, wenn man sie benötigt!

Bei Verwendung von csJEA sind RDP/Win-RM Ports geschlossen und werden nur dann auf einem Host geöffnet, wenn csJEA-Konten für einen oder mehrere Hosts ausgecheckt werden. Sind derartige Verbindungen nicht offen, dann können Sie auch nicht angegriffen werden.

Sonstiges

Die Anwendung unterstützt auch das Auschecken eines JEA-Administrator Kontos auf beliebig vielen Hosts im AD in unterschiedlichen MS-Tier Levels. Alle Arbeiten werden in ein Logbuch eingetragen, wodurch die Arbeiten in einem Netzwerk „kostenlos“ dokumentiert werden.

Ein hohes Augenmerk legten wir bei csJEA, wie bei allen anderen Anwendungen, auf die Usability in der täglichen Praxis.