ESAE ist tot. Lang lebe SAE!

Wir beleuchteten in der Vergangenheit ausführlich die Vorteile des Enhanced Secure Administration Environment (ESAE). Doch Microsoft hat es Ende 2020 in die Rente geschickt. Oder doch nicht? Hier ein aktueller Einblick, ob und wie das ESAE-Modell weiterlebt.

Ein Gastbeitrag der TEAL Technology Consulting GmbH .

Hinweis: Dieser Beitrag ist Bestandteil einer mehrteilen ESAE-Serie. Um einen Gesamtüberblick übers Thema zu erhalten und auf dem aktuellen Stand zu sein, sollten Sie alle Teile nacheinander lesen.

• • Teil 1: Basics & Architekturplanung
  • Teil 2: Privileged Access Management & Shadow Principals
  • Teil 3: Schutzmaßnahmen für die Umgebung
  • Teil 4: Windows IPSec im Detail erklärt
  • Teil 5: Die ESAE-Architektur von Microsoft
  • Teil 6: ESAE ist tot, lang lebe SAE! (dieser Beitrag)

Darum geht es in diesem Teil der ESAE-Serie:

Ruhestand für ESAE?!

Im Dezember 2020 veröffentlichte Microsoft eine aktualisierte Fassung seiner Securing Privileged Access-Dokumentation (die mittlerweile erneut überarbeitet wurde).

Einer der Artikel beginnt mit folgendem Bild:

Das Bild suggeriert, dass das „alte“ ESAE-Modell ausgedient hat und in Rente geschickt worden wäre. Auf den ersten Blick ist das verwirrend.

Die große Frage lautet seitdem: Sind jetzt alle ESAE-Bemühungen umsonst gewesen?

So viel vorweg: Auch wenn Microsoft viele wichtige Punkte anders darstellt und ergänzt, die Grundprinzipien bleiben dieselben! Wer eine sichere Infrastruktur-Umgebung betreiben möchte, kommt auch in Zukunft nicht an den klassischen ESAE-Maßnahmen vorbei.

Support-Ende für das ESAE-Modell?

Kurz nach Veröffentlichung der Dokumentation gab es viel Aufregung. Unternehmen hatten Angst, dass bereits getätigte Investitionen umsonst waren. Wir hörten deshalb mehrfach diese Fragen von unseren Kunden:

• • “Laufen wir Gefahr, dass unsere jetzige ESAE-Architektur durch Microsoft nicht mehr supportet wird?”
  • “Wie hoch ist der Sicherheitsgewinn gegenüber dem jetzigen ESAE-Setup?”
  • “Wie hoch ist der Aufwand, die neue Architektur umzusetzen?”

Bevor wir in diesem Beitrag auf die Fragen eingehen, ist zuerst eine Definition des Begriffs notwendig: Was genau ist ESAE?

Wie definiert Microsoft ESAE?

In dem Retirement-Artikel von Microsoft steht:

„The Enhanced Security Admin Environment (ESAE) architecture (often referred to as red forest, admin forest, or hardened forest) is a legacy approach to provide a secure environment for Windows Server Active Directory (AD) administrators.“

ESAE wird also mehr oder weniger mit dem Red-Forest-Modell gleichgesetzt.

Wer die vorherigen ESAE-Artikel gelesen hat, unsere Top-10-Maßnahmen-Infografik kennt (s.u.) oder auch die zahlreichen anderen Seiten im Internet zu dem Thema ESAE liest, stellt fest, dass der Begriff ESAE für die meisten viel mehr bedeutet als Red Forest.

Doch für die Beantwortung der Fragen werden wir die Definition aus dem ESAE-Retirement-Artikel verwenden.

ESAE und der Support

Frage eines Kunden: „Laufen wir Gefahr, dass unsere jetzige ESAE-Architektur durch Microsoft nicht mehr supportet wird?“

Die direkte Antwort von Microsoft lautet:

“While not a mainstream recommendation, this architectural pattern is valid in a limited set of scenarios.”

Diese Szenarien sind laut Microsoft:

• • • “Isolated on-premises environments”
    • “Highly regulated environments”
    • “High level security assurance is mandated”

Es gibt also auch weiterhin valide Szenarien, in denen Microsoft das “klassische” ESAE-Modell unterstützt. Auch interessant ist, dass Microsoft selbst weiterhin ein ESAE-Setup betreibt.

Weiterhin möchten wir dazu ausführen, dass ESAE eine Architektur und kein Produkt ist. Insofern gibt und gab es noch nie einen Produkt-Support im klassischen Sinne.

Um die Frage also etwas ausführlicher zu beantworten, müssen wir uns anschauen, aus welchen Komponenten eine ESAE-Architektur im Wesentlichen besteht. Glücklicherweise nutzt die Architektur viele Built-in Funktionalitäten der Betriebssysteme, weshalb die Liste erfreulich kurz ausfällt:

Produkt	Support-Ende
Windows 10	Rollierend 12 Monate seit dem letzten Update
Windows Server 2019	09.01.2029
Windows Server 2022	13.10.2031
MIM 2016 SP2*	13.01.2026
LAPS**	N/A

*MIM kann für die Anforderung von Shadow-Principal-Rechten genutzt werden. Man kann die höheren Rechte allerdings auch per Powershell anfordern, verliert dann allerdings die Möglichkeit von Approval Workflows.

**LAPS ist leider nicht auf der Product and Services Lifecycle Information-Seite zu finden. Allerdings wurde die Version 6.2 am 10.06.2020 veröffentlicht. Wir gehen daher davon aus, dass LAPS langfristig supportet wird.

Die Tabelle (inklusive langer Fußnoten) bestätigt somit auch das, was Microsoft in dem Retirement-Artikel sagt: Man muss sich keine Sorgen machen!

Was ist mit dem Sicherheitsgewinn?

Frage eines Kunden: „Wie hoch ist der Sicherheitsgewinn gegenüber dem jetzigen ESAE-Setup?“

Diese Frage ist, wie oben schon erwähnt, konkret nur im Kunden-Kontext zu beantworten. Freundlicherweise definiert Microsoft selbst im Artikel “Measuring Success” diese Erfolgskriterien:

„A successful strategy must address all the points attackers can use to intercept privileged access workflows including four distinct initiatives:

• • • Privileged Access workflow elements of the privileged access workflow including underlying devices, operating systems, applications, and identities
    • Identity systems hosting the privileged accounts and the groups, and other artifacts that confer privilege on the accounts
    • User access workflow and authorized elevation paths that can lead to privileged access
    • Application interfaces where zero trust access policy is enforced and role-based access control (RBAC) is configured to grant privileges”

Nachfolgend gehen wir auf jede davon ein.

ESAE und der Privileged Access Workflow & Identity Systems

Wenn man die Definition aus dem Retirement-Artikel („provide a secure environment for Windows Server Active Directory administrators“) zugrunde legt und der Absicherung der kompletten Privileged Access Plane gegenüberstellt, ist der Sicherheitsgewinn natürlich signifikant.

Wir haben uns mal die Mühe gemacht und die erste ESAE-Dokumentation aus dem Jahr 2017 aus www.web.archive.org gekramt. Darin steht:

„Tier 0 – Direct Control of enterprise identities in the environment. Tier 0 includes accounts, groups, and other assets that have direct or indirect administrative control of the Active Directory forest, domains, or domain controllers, and all the assets in it. The security sensitivity of all Tier 0 assets is equivalent as they are all effectively in control of each other.“

Wenn man also heute schon seine kompletten Tier-0-Systeme inklusive denen in der Cloud abgesichert hat, ist der Sicherheitsgewinn aus unserer Sicht gering. Wie weit fortgeschritten das Vorhaben ist, muss natürlich jeder für sich selbst bewerten.

Aus unserer Erfahrung ist es aber ein intensiver Weg, alle Tier-0-Systeme zu identifizieren und abzusichern. Das bleibt aber auch im neuen Modell nicht aus und ist mindestens genauso komplex wie zuvor.

ESAE und der User Access Workflow

Der Punkt ist leider ohne nähere Erläuterung seitens Microsoft nicht zu bewerten.

In dem Schaubild der „planes“ oben ist kein „authorized elevation path“ vom normalen User zu „privileged access“ zu erkennen. Aus unserer Sicht aus gutem Grund, da es den per Definition eigentlich nicht geben soll…

ESAE und die Application Interfaces

Das ist aus unserer Sicht tatsächlich eine Neuerung gegenüber dem “klassischen” Ansatz. Zumindest in der Konsequenz, mit der es in der Zero-Trust-Dokumentation gefordert wird:

„This is the core of Zero Trust. Instead of believing everything behind the corporate firewall is safe, the Zero Trust model assumes breach and verifies each request as though it originated from an uncontrolled network.“