Active Directory absichern: Privilegierte Zugriffe managen

Der letzte Baustein einer Active-Directory-Infrastruktur besteht darin, Privileged Access Management in Microsofts Enterprise Access Model zu integrieren.

Artikel verschenken

17.03.2023, 08:00 Uhr

Lesezeit: 19 Min.

iX Magazin

Von

Hagen Molzer

Active Directory absichern: Privilegierte Zugriffe managen
Änderungen an AD-Struktur und Delegation
Weniger Leserechte, weniger Angriffsfläche
Gut segmentiert ist halb gewonnen
In der Praxis
Kreativ wie ein Angreifer
Exkurs: Einige Lehren aus dem NotPetya-Angriff auf Maersk

Artikel in iX 4/2023 lesen

Die Integration eines Privileged Access Management (PAM) in Microsofts Enterprise Access Model, vielen noch als Tiering-Modell geläufig, kann mehrere Probleme lösen. Durch die Trennung der administrativen Rechte auf den Tiers brauchen die Administratoren je nach Rollenverteilung zusätzliche Benutzerkonten, um nach der Umstellung der Administration auf das Tiering-Modell ihren verschiedenen Aufgaben nachgehen zu können. Das können insgesamt bis zu fünf Benutzerkonten sein, wenn der Administrator in allen drei Tiers aktiv ist und neben seinem regulären Benutzerkonto auch noch ein lokales Administratorkonto auf seinem regulären Client hat.

Die Anforderung, dass diese Benutzerkonten über sehr sichere (und damit lange), einzigartige und nicht in Zusammenhang stehende Passwörter verfügen müssen, macht es nicht einfacher, sich diese zu merken und sie auch regelmäßig zu ändern. Hier kann die Einführung eines PAM-Produkts helfen, die zahlreichen Konten zu verwalten. Der Administrator muss sich dann je nach Implementierung nur noch zwei der fünf Passwörter merken, nämlich das des Benutzerkontos, mit dem er sich am regulären Client anmeldet, und das des Tier-0-Adminkontos, mit dem er sich an der Privileged Access Workstation (PAW) anmeldet. Von dort hat er Zugriff auf das PAM-Werkzeug und die darin enthaltenen Konten.

Hagen Molzer ist Leitender Berater bei der cirosec GmbH. In seinen Schwerpunktbereichen Active-Directory- und Windows-Betriebssystem-Sicherheit führt er Penetrationstests, Beratungsprojekte sowie Red-Team-Assessments durch.

Außerdem kann das PAM die regelmäßige Änderung der Passwörter der hochprivilegierten Konten mit besonders langen und kryptischen Passwörtern automatisieren, was die Sicherheit weiter erhöht. Ein gutes PAM-Produkt kann außerdem viele weitere sicherheitsrelevante Probleme beseitigen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Mercedes hat sein kleinstes Elektroauto ein wenig überarbeitet. Es fährt gediegen, kann bei der Spitzenladeleistung allerdings nicht glänzen.

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Mit der Software Caddy lassen sich mit verschiedenen Domains unterschiedliche Server im gleichen Netzwerk aufrufen. Wir zeigen, wie es geht.

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

Innovative,Ai,Robot,Tutor,Helping,A,Teenage,Boy,With,Homework,

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

Flug mit Nervenkitzel: FPV-Drohne DJI Avata 2 im Test

Die DJI Avata 2 setzt neue Maßstäbe bei First-Person-View-Drohnen: mit verbesserter Bildqualität, optimierter Brille und längerer Flugzeit.

DJI Mini 4 Pro im Test

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

GrapheneOS ist eine besondere Android-Spielart. Seine Bandbreite reicht von "sicher wie Fort Knox" bis "komfortabel vernetzt wie ein Google-Phone".

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Mercedes hat sein kleinstes Elektroauto ein wenig überarbeitet. Es fährt gediegen, kann bei der Spitzenladeleistung allerdings nicht glänzen.

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Mit der Software Caddy lassen sich mit verschiedenen Domains unterschiedliche Server im gleichen Netzwerk aufrufen. Wir zeigen, wie es geht.

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

Flug mit Nervenkitzel: FPV-Drohne DJI Avata 2 im Test

Die DJI Avata 2 setzt neue Maßstäbe bei First-Person-View-Drohnen: mit verbesserter Bildqualität, optimierter Brille und längerer Flugzeit.

DJI Mini 4 Pro im Test

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

GrapheneOS ist eine besondere Android-Spielart. Seine Bandbreite reicht von "sicher wie Fort Knox" bis "komfortabel vernetzt wie ein Google-Phone".

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Active Directory absichern: Privilegierte Zugriffe managen

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Flug mit Nervenkitzel: FPV-Drohne DJI Avata 2 im Test

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Flug mit Nervenkitzel: FPV-Drohne DJI Avata 2 im Test

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.