Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird eine End-to-End-Lösung für die Implementierung einer Architektur mit privilegiertem Zugriff vorgestellt. Sie richtet sich an Sicherheits- und Identitätsplaner und Implementierer.
Im Microsoft Sicherheitsakzeptanzmodell:
- Implementierungslösungen stellen konkrete Anleitungen für die Bereitstellung bereit.
- Lösungen richten sich an Geschäftsszenarien , die sicherheitsrelevante Ergebnisse mit hoher Priorität definieren.
Bevor Sie mit der Implementierung beginnen, erfahren Sie, wie eine architektur mit sicherem privilegiertem Zugriff eine wichtige Rolle im Geschäftsszenario spielt – Schützen kritischer Geschäftsressourcen – durch Verringerung dieses Risikos und stärkung der Kontrolle über sensible Systeme.
Lösungsziele
Der privilegierte Zugriff stellt eines der größten Risiken in jeder Organisation dar, da er die direkte Kontrolle über Identitätssysteme, Cloudsteuerungsebenen und kritische Geschäftsressourcen bietet.
In diesem Leitfaden wird ein Zero Trust Ansatz für privilegierten Zugriff definiert, indem er ihn als End-to-End-Zugriffspfad behandelt, der identitäts-, geräte-, schnittstellen-, Zielressource und Überwachung umfasst. Anstatt einzelne Komponenten isoliert zu schützen, stellt dieses Modell sicher, dass der gesamte Zugriffspfad gesteuert und kontinuierlich überprüft wird.
Ziel ist es, das Risiko zu reduzieren durch:
- Einschränken, wer privilegierte Aktionen ausführen kann.
- Steuern, wo und wie diese Aktionen auftreten können.
- Kontinuierliche Überwachung und Reaktion auf privilegierte Aktivitäten.
Implementieren Sie diese Architektur mithilfe von Microsoft Entra ID, Microsoft Intune und Microsoft Defender for Endpoint.
Stellen Sie die Lösung in Phasen bereit. Erstellen Sie zunächst eine sichere Grundlage (Identitätssteuerungsebene und vertrauenswürdige Geräte), erzwingen Sie Richtlinienkontrollen und richten Sie dann Überwachungs- und Reaktionsvorgänge ein.
Risiko des privilegierten Zugriffs
Privilegierte Identitäten (menschlich und nicht menschlich) kontrollieren hochwertige Ressourcen und Sicherheitserzwingungsmechanismen. Wenn dies kompromittiert wird, sind die daraus resultierenden geschäftlichen Auswirkungen schwerwiegend. Mit privilegiertem Zugriff können Angreifer:
- Exfiltrieren, Verschlüsseln oder Zerstören von Daten.
- Den Geschäftsbetrieb stilllegen oder stören.
- Deaktivieren Sie Erkennungs- und Durchsetzungskontrollen.
- Identitätssysteme untergraben und dauerhaften Zugriff schaffen.
Häufige Angriffe
Angriffe folgen zwei gängigen Mustern:
- Gezielter Datendiebstahl: Cyberangriffe suchen und exfiltrieren sensibles geistiges Eigentum, Finanzdaten oder strategische Pläne. Gestohlene Daten werden verkauft, geleckt oder für wettbewerbsvorteil genutzt.
- Menschengesteuerte Ransomware: Cyberangreifer nutzen privilegierte Zugänge, um Systeme zu verschlüsseln, den Betrieb lahmzulegen und die Organisation zu erpressen – und so Entscheidungen auf Führungsebene unter extremem Zeitdruck zu erzwingen.
Warum privilegierter Zugriff riskant ist
Das Risiko des privilegierten Zugriffs ist aus verschiedenen Gründen eindeutig und systemisch.
| Risiko | Details |
|---|---|
| Arbeitet in der Steuerebene | Privilegierte Konten werden in der Kontrollebene verwendet, nicht nur in der Workload-Ebene. Privilegierte Identitäten können Identitäten ändern, Sicherheitskonfigurationen ändern, Erzwingungskontrollen deaktivieren oder umgehen und geschäftskritische Daten manipulieren. Sobald Angreifer privilegierten Zugriff erhalten, können sie die Mechanismen untergraben, die darauf ausgelegt sind, sie zu erkennen und zu stoppen. Dies macht herkömmliche Eindämmungsstrategien weit weniger effektiv und ermöglicht es, dass der Kompromiss unerkannt bleibt. |
| Hohe geschäftliche Wirkung nach Design | Der privilegierte Zugriff besteht darin, kritische Systeme zu verwalten, sodass der Missbrauch dieses Zugriffs sofortige und schwerwiegende Folgen hat. Mit privilegiertem Zugriff können Angreifer: - Exfiltrieren oder Zerstören vertraulicher Daten – Geschäftsabläufe stilllegen oder manipulieren - Verschlüsseln sie ganze Umgebungen zur Erpressung (von Menschen betriebene Ransomware) - Systeme auf eine Weise manipulieren, die in der realen Welt Schaden verursachen kann. Diese Ergebnisse sind nicht theoretisch. Sie werden wiederholt branchenübergreifend beobachtet, wodurch der privilegierte Zugriff eine der zuverlässigsten Methoden für Angreifer ist, um maximale Auswirkungen zu erzielen. |
| Laut und störend | Im Gegensatz zum Diebstahl von stealthy-Daten sind viele privilegierte Zugriffsangriffe – insbesondere von Menschen betriebene Ransomware – absichtlich störend. Sie legen den Betrieb lahm, setzen kundennahe Dienste außer Kraft und erzwingen Entscheidungen auf Führungsebene unter extremem Zeitdruck. Da alle Organisationen finanziell und operativ motiviert sind, den Dienst schnell wiederherzustellen, sind diese Angriffe unabhängig von Industrie oder Größe universell anwendbar und hoch effektiv. |
| Risiko wachsen, nicht verkleinern | Angreifer sind flexibel und technologieunabhängig. Sie haben es nicht auf ein einzelnes Produkt oder eine einzelne Sicherheitskontrolle abgesehen, sondern nutzen jeweils den aktuell schwächsten privilegierten Zugriffsweg aus. Die Angriffsfläche für privilegierten Zugriff ist breit und miteinander verbunden und umfasst: - Konten und Identitätssysteme - Arbeitsstationen und Geräte - Zwischensysteme wie Remotezugriffstools und PAM/PIM-Lösungen. – Verwaltungsschnittstellen, Portale, APIs und Höhenpfade. Die Kompromittierung eines dieser Elemente kann einen Weg zur vollständigen Unternehmenssteuerung bieten, und neue Zugriffspfade werden kontinuierlich eingeführt, wenn sich Umgebungen weiterentwickeln. |
| Single-Solution-Ansätze schlagen fehl | Die Bereitstellung von nur einer Kontrollklasse wie PAM/PIM, Netzwerkeinschränkungen oder Erkennungstools verringert das Risiko nicht ausreichend. Diese Steuerelemente behandeln Teile des Problems, nicht das System. Wenn privilegierter Zugriff nicht durchgängig geschützt ist, umgehen Angreifer einfach isolierte Schutzmaßnahmen und nutzen eine ungeschützte Stelle im Zugriffspfad aus. Aus diesem Grund muss der privilegierte Zugriff als vollständiges System behandelt werden – von Identitäts- und Gerätevertrauensstellung bis hin zur Erhöhung und Ausführung bis hin zur Überwachung und Reaktion – und nicht als Sammlung unabhängiger Tools. |
Architekturprinzipien und -ergebnisse
Microsofts empfohlener Ansatz ist der Aufbau eines Closed-Loop-Systems für privilegierten Zugriff, das:
- Bietet sofortige Risikoreduzierung
- Unterstützt inkrementelle, nachhaltige Fortschritte
- Vermeiden unnötiger Komplexität
- Ermöglicht klare Ergebnisse und Erfolgskriterien
Architekturergebnisse
Die Umsetzung der auf diesen Grundsätzen basierenden Strategie schafft eine Reihe eindeutiger Ergebnisse und Erfolgskriterien.
| Ergebnis | Architektur | Erfolgskriterien |
|---|---|---|
| Privilegierter Zugriff wird als End-to-End-System erzwungen. | Risiken durch privilegierte Zugriffe werden über den gesamten Zugriffspfad hinweg kontrolliert: Identität, Rollenzuweisung, Gerät, Ausführungsumgebung, Workflow zur Privilegienerhöhung, Zwischensysteme, Verwaltungsschnittstellen, Überwachung und Reaktion. Arbeiten mit privilegierten Rechten erfolgen nur über explizite, autorisierte Pfade zur Rechteerhöhung mit Zero-Trust-Validierung (Identitätssicherung, Gerätevertrauen, Sitzungskontext). | Jede Sitzung überprüft, ob das Benutzerkonto und das Gerät auf einer ausreichenden Ebene vertrauenswürdig sind, bevor der Zugriff zugelassen wird. Messbeispiele: % der privilegierten Anmeldungen erfüllen Anforderungen wie MFA und erforderliche Gerätevertrauenswürdigkeit, % privilegierter Aktionen, die über den Genehmigungserweiterungsworkflow im Vergleich zu ständigen Berechtigungen ausgeführt werden. |
| Schützen und Überwachen von Identitätssystemen | Schützen Sie Identitätssysteme, die Berechtigungen hosten oder übertragen (Verzeichnisse, Identitätsverwaltung, Administratorkonten usw.). Governance, Richtlinienerzwingung, Protokollierung und Analysen werden zentralisiert, um die Abweichung zu reduzieren und die Sichtbarkeit zu verbessern. |
Jedes dieser Systeme ist auf einer Ebene geschützt, die für die potenziellen geschäftlichen Auswirkungen von darin gehosteten Konten geeignet ist. Beispiele für Messgrößen: Prozentsatz der privilegierten Identitäten, die von der regelmäßigen Zugriffsüberprüfung abgedeckt werden Abschlussrate regelmäßiger Überprüfungen des privilegierten Zugriffs (wer überprüft hat, wer widerrufen hat). |
| Laterale Bewegung eindämmen | Isolieren Sie privilegierte Arbeit von Umgebungen mit hoher Gefährdung. Schützen Sie lokale Administratoranmeldeinformationen, geheime Dienstkontoschlüssel und Erhöhungsmechanismen, sodass eine Kompromittierung eines einzelnen Geräts, eines Kontos oder einer Anmeldeinformation keine umfassendere administrative Kontrolle ermöglicht. | Das Kompromittieren eines einzelnen Geräts führt nicht sofort zur Kontrolle vieler oder aller anderen Geräte in der Umgebung. Beispiel für eine Messgröße: Prozentsatz privilegierter Aktionen, die ausschließlich von Administratorarbeitsstationen ausgeführt werden. |
| Schnelle Reaktion auf Bedrohungen | Privilegierte Aktivität ist ein Prioritätssignal für die Erkennung und Reaktion. Entwerfen Sie Maßnahmen zur Überwachung und Reaktion auf Sicherheitsvorfälle, um mehrstufige Angriffe zu unterbinden und die Verweildauer von Angreifern bei Angriffen auf privilegierte Zugriffe zu begrenzen. | Ihre Reaktion auf Sicherheitsvorfälle kann mehrstufige Angriffe zuverlässig stoppen, bevor sie privilegierten Zugriff erlangen, und den Missbrauch privilegierter Zugriffsrechte, wenn er auftritt, schnell eindämmen. Beispielmetrik: Die mittlere Zeit zur Behebung von Vorfällen im Zusammenhang mit privilegierten Zugriffsrechten (MTTR) sinkt auf Minuten statt auf Stunden oder Tage. Unerwartete oder neue Pfade für privilegierten Zugriff werden schnell identifiziert und geschlossen. |
Verfolgen Sie diese Maßnahmen monatlich zur Fortschrittskontrolle und überprüfen Sie sie vierteljährlich im Rahmen der Governance für privilegierte Zugriffe.
Privilegierte Zugriffspfade verstehen
Privilegierte Zugriffspfade sind Zugriffspfade, die eine vollständige Kette von Identität zu Ausführung bilden, wie im folgenden Diagramm dargestellt.
Wenn eine Verbindung in der Kette schwach ist, ist der gesamte Weg anfällig.
| Path | Components | Risiko |
|---|---|---|
|
Benutzerzugriffspfade Benutzerzugriffspfade unterstützen standardmäßige Produktivitäts- und Geschäftsvorgänge, z. B. E-Mail, Zusammenarbeit, Webbrowsen und Branchenanwendungen. |
Ein Benutzerzugriffspfad umfasst in der Regel Folgendes: - Identität: Ein Standardbenutzerkonto - Gerät: Eine allgemeine Arbeitsstation - Vermittler: Optionale Vermittler wie vpn oder Remotezugriff. - Schnittstelle: Interaktion mit Unternehmensanwendungen und -diensten. |
Während die Kompromittierung eines Benutzerzugriffspfads Schaden verursachen kann, ist die potenzielle Auswirkung im Vergleich zum privilegierten Zugriff eingeschränkt. |
|
Pfade für privilegierten Zugriff Privilegierte Zugriffspfade verwalten Identitäten, Infrastruktur, Sicherheitskontrollen und unternehmenskritische Systeme. |
Privilegierte Zugriffspfade bestehen in der Regel aus: - Identität: Ein Konto, das privilegierte Arbeit ausführt. - Gerät: Die Endpunktarbeitsstation oder das Gerät, das von der privilegierten Sitzung verwendet wird. - Vermittler: Jedes System oder jeder Dienst, das bzw. der die privilegierte Sitzung vermittelt oder hostet, z. B. Tools für den Fernzugriff oder die Fernverwaltung. - Schnittstelle: Die Verwaltungsoberfläche, auf der privilegierte Kontrolle ausgeübt wird. Beispielsweise Portale, APIs, Befehlszeilentools oder Automatisierung. |
Obwohl die technischen Komponenten einem Benutzerzugriffspfad ähneln, ist der potenzielle Schaden bei einer Kompromittierung deutlich höher. Privilegierte Zugriffspfade müssen daher folgendes sein: - Weniger - Explizit definiert – Isoliert von Benutzerzugriffspfaden – Geschützt mit den stärksten verfügbaren Steuerelementen. |
Beispielpfad
In einem typischen privilegierten Zugriffspfad:
- Eine dedizierte Administratoridentität meldet sich an.
- Die Anmeldung erfolgt über eine gehärtete Privileged Access Workstation (PAW).
- Die Anmeldung aktiviert eine Rolle über Privileged Identity Management (PIM).
- Die Anmeldung verwendet eine bestimmte Verwaltungsschnittstelle, z. B. ein Portal, eine API oder eine CLI.
- Die angemeldete Identität führt eine privilegierte Aktion aus.
Lösungskomponenten
Die Lösung für privilegierten Zugriff basiert auf drei eng gekoppelten Elementen, die – privilegierte Aktionen durch die richtigen Identitäten, von vertrauenswürdigen Geräten, unter erzwungenen Bedingungen sicherstellen.
Privilegierte Identitäten
- Dedizierte Administratorkonten, die privilegierte Aktionen ausführen dürfen.
- Identitäten, die durch eine sichere Authentifizierung geschützt sind und, sofern möglich, kennwortlose Authentifizierung.
- Eingeschränkte Zuweisung privilegierter Rollen.
- Just-in-Time-Erhöhung privilegierter Rechte mit Genehmigung.
Arbeitsstationen mit privilegiertem Zugriff (PAWs)
- Gehärtete, restriktive Geräte.
- Reduzierte Angriffsfläche auf Geräten.
- Schutz vor Bedrohungen für Anmeldeinformationen und Schadsoftware.
- Isoliert von Benutzeraktivitäten mit hohem Risiko.
Richtlinienerzwingung und -überwachung
- Bedingter Zugriff überprüft Identität, Gerät und Sitzungskontext.
- Pfade zur privilegierten Rechteausweitung sind ausdrücklich definiert.
- Alle privilegierten Aktivitäten werden protokolliert, überwacht und überprüft.
Identitätssysteme und Höhenpfade
Identitätssysteme und Höhenpfade sind grundlegende Komponenten jedes privilegierten Zugriffspfads. Sie definieren, wo privilegierte Identitäten erstellt werden, wie Administrative Rollen zugewiesen werden und wie Benutzer von einem nicht privilegierten Status zu privilegierten Aktionen wechseln.
Diese Implementierungsanleitung betrachtet Identitätssysteme und Eskalationspfade als Teil der privilegierten Angriffsfläche und der Identitätssteuerungsebene.
| Area | Details | Risikominderung |
|---|---|---|
| Identitätssysteme | Wenn privilegierte Identitäten, Rollen und Administratorberechtigungen definiert und verwaltet werden. Diese Definition umfasst Verzeichnisse, Rollenzuweisungen, administrative Gruppen und Konfiguration auf Mandantenebene. |
Privilegierte Identitäten agieren auf der Steuerungsebene. Wenn Identitätssysteme kompromittiert sind, können Angreifer privilegierten Zugriff erstellen, ändern oder beibehalten– das Umgehen von Gerätesteuerungen, Zugriffsbedingungen und Überwachung. Die Sicherung der Identitätssteuerungsebene ist die höchste Implementierungspriorität. |
| Autorisierte Rechteerweiterungspfade | So wechselt ein Benutzer von einem nicht privilegierten Zustand, um privilegierte Aktionen auszuführen. Zum Beispiel zeitlich begrenzte Rollenaktivierung, Genehmigungsworkflows und administrative Sitzungen mit begrenztem Geltungsbereich. |
Stellt sicher, dass die Rechteerweiterung eine starke Authentifizierung erfordert und dass die Rechteerweiterung absichtlich, temporär, überwacht und nur von genehmigten Geräten und Schnittstellen erfolgt. Indem Sie die Rechteausweitung nur über genehmigte Workflows, Geräte und Schnittstellen erzwingen, verhindern Sie dauerhafte privilegierte Berechtigungen und reduzieren Missbrauch, laterale Bewegungen und unbemerkte Persistenz. |
Lösungsphasen
Implementieren Sie die Architektur für privilegierten Zugriff mithilfe eines phasenweisen Einführungsmodells, das an Microsoft bewährten Methoden ausgerichtet ist.
- Starten Sie die Einführung mithilfe des strukturierten Einführungsmodells. Einführungsleitfaden helfen Geschäftsleitern, kritische Ergebnisse auf Unternehmensebene für sichere Identität zu identifizieren und die Zugriffs- und Identitätsdisziplin zu verstehen, einschließlich der Teams und Anstrengungen, die erforderlich sind, um Identitätsinitiativen wie privilegierten Zugriff voranzutreiben.
- Planen Sie die Lösung. Mithilfe der Planung können Sie Designziele identifizieren, Sicherheitsstufen zuweisen, um die Strategie für den privilegierten Zugriff zu bestimmen und die Implementierung zu planen.
- Folgen Sie den implementierungsphasen, die in der folgenden Tabelle zusammengefasst sind. Jede Phase hat ein bestimmtes Ziel und wird mit konkreten Konfigurationsschritten in den entsprechenden Artikeln implementiert.
Implementierungsphasen
| Phase | Risiko minimieren | Zero-Trust-Prinzipien anwenden |
|---|---|---|
| Phase 1. Schützen Sie die Identity-Control-Plane Erstellen – Dedizierte Administratoridentitäten. Sicherheitsgruppen für rollenzuweisung. - Notfallkonten für den Ausnahmefall, falls Sie noch keine haben. |
Verringert das Risiko von Diebstahl von Anmeldeinformationen, Rechtemissbrauch und unbefugter Rechteerweiterung. |
Explizit überprüfen Verwenden Sie eine starke Authentifizierung. Verwenden der geringsten Rechte Administratorrollen einschränken/Just-in-Time-Berechtigungen aktivieren. Gehen Sie von einem Sicherheitsverstoß aus. Verwenden Sie Notfallkonten zur Wiederherstellung. |
| Phase 2. Bereitstellen und Härtung von Geräten mit privilegiertem Zugriff Bereitstellen dedizierter Arbeitsstationen mit privilegiertem Zugriff (PAWs). Wenden Sie die Betriebssystemhärtung und Sicherheitsgrundwerte an. Erzwingen von Patching, Endpunktschutz und Datenträgerverschlüsselung. Minimieren Sie Installationen von Apps und Diensten. |
Verringert das Risiko einer Kompromittierung von Anmeldeinformationen und gerätebasierten Angriffen. |
Explizit überprüfen Stellen Sie sicher, dass Geräte registriert, vertrauenswürdig und konform sind, bevor Sie Zugriff gewähren. Annehmen eines Verstoßes Minimieren Sie potenzielle Kompromittierungspfade, indem Sie Geräte härten und administrative Anmeldeinformationen isolieren. Anwenden des Prinzips der geringstmöglichen Berechtigungen. Einschränken, was Administratoren auf diesen dedizierten Geräten tun können. |
| Phase 3 Erzwingen von Richtlinien für privilegierten Zugriff Konfigurieren des bedingten Zugriffs für privilegierte Rollen. Fordern Sie konforme Geräte und eine starke Authentifizierung an. Erzwingen sie kontextbezogene Zugriffsbedingungen. Zugriff auf genehmigte Schnittstellen einschränken. |
Verhindert den nicht autorisierten Zugriff und die Wiedergabe von Anmeldeinformationen. |
Gehen Sie von einem Sicherheitsverstoß aus. Verhindern Sie den Missbrauch von Anmeldeinformationen, wenn Konten gestohlen werden, indem Sie einschränken, wo und wie der Zugriff gewährt wird. Verwenden Sie die geringsten Rechte. Erzwingen Sie rollenbasierte und kontextbezogene Berechtigungen. |
| Phase 4. Überwachen und kontinuierlich validieren Untersuchen Sie Vorfälle und beheben Sie schnell. Überprüft kontinuierlich Vertrauen und Abdeckung. |
Erkennen, Untersuchen und Reagieren auf privilegierte Bedrohungen. Aktivierungen privilegierter Rollen und Sitzungen überwachen. Erkennen von Anomalien und verdächtigen Mustern. Verringern Sie die Auswirkungen der nicht erkannten Kompromittierung und der längeren Verweildauer des Angreifers. |
Gehen Sie von einer Kompromittierung aus. Überwachen Sie kontinuierlich Aktivitäten von Angreifern und anomales Verhalten. Überprüfen Sie explizit. Bewerten Sie die Vertrauensstellung kontinuierlich, und untersuchen Sie verdächtige Zugriffsmuster. |
Nächste Schritte
Beginnen Sie nun mit der Planung einer Implementierungsstrategie.