Verwehren Sie Angreifern den Zugriff! Wie Sie mit Microsoft Tiering Ihre Angriffsflächen minimieren und Ihre kritischen Systeme durch Trennung schützen.
Ein Gastbeitrag der TEAL Technology Consulting GmbH
Microsoft Tiering: Ein kurzer Leitfaden
Wenn Sie im Bereich der IT-Sicherheit arbeiten, wissen Sie: Es gibt zahlreiche Maßnahmen, um die Angriffsflächen Ihrer Infrastruktur zu minimieren. Eine sehr wichtige, präventive Lösung ist zum Beispiel die Systemhärtung bzw. Secure Configuration.
In diesem Artikel werfen wir einen genaueren Blick auf die Rolle von Microsoft Tiering. Unter Tiering versteht man einen Sicherheitsansatz, der IT-Systeme in verschiedene Ebenen (= Tiers) einteilt, um sie entsprechend ihrer Kritikalität zu schützen. Dieses Vorgehen bietet eine klare Trennung zwischen hochkritischen Systemen und weniger wichtigen IT-Ressourcen, um potenziellen Angreifern den Zugriff auf das gesamte Netzwerk zu erschweren.
Probleme, die Microsoft Tiering lösen kann
Im täglichen IT-Betrieb stellen wir immer wieder fest, dass Unternehmen Schwierigkeiten haben, ihre Systeme effektiv voneinander zu trennen. Hacker nutzen genau diese Schwachstellen aus, um …
-
- Identitätssysteme wie Active Directory zu kompromittieren.
- hochprivilegierte Accounts zu übernehmen, um die vollständige Kontrolle über die gesamte IT-Infrastruktur zu erlangen.
- durch Lateral Movement immer mehr Zugriffsrechte zu erlangen, bis sie kritische Systeme erreichen.
Im schlimmsten Fall führt die Ausbreitung eines Angreifers zum Totalverlust von Daten und Kontrolle. Die Wiederherstellung kann unter Umständen Jahre dauern. Microsoft Tiering soll genau dieses Szenario verhindern, indem strikte Sicherheitszonen definiert werden.
Die Struktur von Microsoft Tiering
Diese Abstufungen gibt es und so werden sie definiert:
Tier 0: Hochkritische Systeme
Hierunter fallen Systeme, die die gesamte IT-Infrastruktur kontrollieren, beispielsweise:
-
- Domain Controller
- Identitätsserver (Azure AD Connect, Identity Sync, Federation Provider)
- Zertifizierungsstellen
Diese Systeme müssen besonders gut geschützt werden, da ihr Verlust schwerwiegende Folgen für die gesamte Infrastruktur hätte.
Tier 1: Serversysteme
In Tier 1 befinden sich wichtige Serversysteme. Diese sind zwar für den Betrieb unerlässlich, haben aber keinen Einfluss auf die gesamte IT-Landschaft. Darunter fallen unter anderem:
-
- Applikationsserver (SharePoint, Printserver etc.)
- Datenbankserver
Die Verwaltung dieser Server ist sensibel, jedoch nicht so strikt wie bei Tier-0-Systemen.
Tier 2: Endbenutzergeräte
Alle Systeme, die Endbenutzer verwenden, gehören zu Tier 2. Diese haben weniger Privilegien und stellen das unterste Sicherheitsniveau dar. Beispiele dafür:
-
- PCs, Laptops
- Mobile Geräte
- Drucker, Scanner
_____
Dieses Schaubild fasst die Tier-Unterscheidungen zusammen:
_____
Die Praxis von Microsoft Tiering: Schutz durch klare Trennung
Was wir immer wieder sehen: In vielen Organisationen sind historische Strukturen und Berechtigungen über die Jahre gewachsen und schwer nachvollziehbar. Diese Altlasten bergen erhebliche Risiken.
Diese Maßnahmen sollten Unternehmen ergreifen, um ihre IT-Infrastruktur effektiv zu schützen:
Angriffswege identifizieren und isolieren
Der erste Schritt zur Verbesserung der Sicherheit besteht darin, Fehlkonfigurationen zwischen den Tiers zu erkennen und zu beseitigen. Das geht mit einer Angriffspfadanalyse, englisch: Attack Path Management. Ein Pfad besteht zum Beispiel aus Benutzer A der Berichtigungen auf Objekt B hat. Objekt B hat wiederum Berechtigungen auf Benutzer C.
Das bedeutet, dass Benutzer A auch Zugriff auf Benutzer C hat. Genau hier setzt das Tiering an, indem es wichtige bzw. kritische Systeme in der gesamten Umgebung isoliert, speziell schützt und unerwünschte Angriffspfade eliminiert.
Anmelderestriktionen implementieren
Sobald die strukturellen Änderungen umgesetzt wurden, sollten technische Schutzmaßnahmen eingeführt werden. Diese stellen sicher, dass die Tiers effektiv voneinander isoliert bleiben.
Eine wichtige Maßnahme ist die Einführung von Login Restriction Policies. Damit verhindert man, dass sich hochprivilegierte Benutzer (Tier 0) an weniger kritischen Systemen (Tier 1 oder Tier 2) anmelden können. Das unterbindet, dass Anmeldedaten von T0-Konten hinterlassen werden und ein kompromittiertes System aus einer niedrigeren Ebene auf höherwertige Systeme zugreift.
LAPS umsetzen
Die Verwendung von LAPS (Local Administrator Password Solution) wird nach wie vor empfohlen. Diese Lösung gewährleistet, dass jedes System ein einzigartiges Administrator-Passwort erhält, das sicher im Active Directory liegt. Dadurch erhält jedes System ein einzigartiges Passwort, wodurch die Verwendung identischer Zugangsdaten auf mehreren Systemen ausgeschlossen wird. So lässt sich das Risiko eines übergreifenden Schadens durch einen kompromittierten lokalen Administrator-Account erheblich reduzieren.
Umsetzung eines Tiering-Projekts: 4 Phasen zum Erfolg
Die Einführung von Tiering in eine bestehende IT-Umgebung erfordert einen strukturierten Ansatz. Der lässt sich in vier Hauptphasen gliedern:
Phase 1: Angriffspfadanalyse und Klassifizierung
Der erste Schritt ist die Analyse der Angriffspfade in der bestehenden Umgebung. Tools wie Bloodhound können dabei helfen, die potenziellen Wege eines Angreifers durch die Infrastruktur zu identifizieren. Anschließend werden die Systeme und Benutzer in enger Zusammenarbeit mit den Verantwortlichen im Unternehmen in verschiedene Stufen eingeteilt.
Phase 2: Schutzmechanismen implementieren
Nach der Klassifizierung werden technische Schutzmaßnahmen implementiert. Dazu gehören Anmeldebeschränkungen, LAPS sowie die Aufnahme hochprivilegierter Konten in die Gruppe der „Protected-Users“ im Active Directory. Spezifische Passwortrichtlinien für kritische Konten (zum Beispiel Servicekonten) muss man ebenfalls definieren.
Phase 3: Migration und Neuzuordnung der Berechtigungen
In dieser Phase erfolgt die eigentliche Migration der Benutzer und Systeme in die entsprechenden Tiers. Dies beinhaltet eine sorgfältige Überprüfung der bestehenden Berechtigungen und die Sicherstellung, dass nur autorisierte Benutzer Zugriff auf sensible Systeme haben.
Phase 4: Validierung und kontinuierliche Kontrolle
Abschließend wird eine erneute Angriffspfadanalyse durchgeführt, um überprüfen, dass keine neuen Schwachstellen vorhanden sind. Regelmäßige Checks sind unerlässlich, um sicherzustellen, dass die IT-Umgebung dauerhaft geschützt bleibt.
Herausforderungen bei der Einführung des Tiering-Modells
Die Einführung von Tiering ist nicht nur eine technische, sondern auch eine organisatorische Herausforderung. Es erfordert klare Verantwortlichkeiten und eine enge Zusammenarbeit zwischen den Abteilungen. Dabei ist es entscheidend, die Beteiligten frühzeitig einzubinden und sicherzustellen, dass sie die Notwendigkeit der Maßnahmen verstehen.
Fazit
Das Microsoft Tiering-Modell bietet eine robuste Grundlage, um die IT-Sicherheit zu erhöhen und Angriffswege zu minimieren. Die Umsetzung mag anspruchsvoll sein, aber der langfristige Nutzen überwiegt die Herausforderungen bei weitem.
👉 Hinweis: Hands-on-Beispiele, Empfehlungen und wichtige Tipps für ein besseres Tiering erhalten Sie im TEAL Tiering Webinar. Die Teilnahme ist kostenlos.
Bilder: Freepik, TEAL