Tier 0/1/2 Security ist nicht alles

Auf der Seite möchte ich das von Microsoft propagierte Tier 0/1/2-Modell für einen geschützten Zugriff vorstellen aber zugleich auch beschreiben, das allein das Modell nicht ausreichend ist. Für viele Kunden könnte die komplette Umsetzung sogar zu viele Ressourcen binden und Kosten verursachen, die dann die Umsetzung drängenderer Bausteine verzögern oder unmöglich machen. Beim Auto sind Sicherheitsgurt, Airbags und ABS ja auch wichtiger als ein Spurhalteassistent.

Sie hatten einen Unfall

Führen wir den Vergleich mit einem Auto-Unfall weiter. Ihr bisheriges Auto noch nicht "alles" was möglich ist und durch den Totalschaden müssen Sie wieder neu anfangen. Natürlich hilft ihnen beim Unfall der Krankenwagen und das Abschlepp-Unternehmen, was nicht ganz billig ist. Beim nächsten Auto wollen Sie aber mehr Sicherheit. Klar hatte auch ihr bisheriges Fahrzeug schon einen Airbag und Sicherheitsgurte, weil es ja "Pflicht" war. Es war ja kein Oldtimer für die Schönwetter-Ausfahrt, sondern eher das Standardmodell.

Nun stehen sie aber vor der Neuanschaffung. Sie gehen also in das nächste Autohaus und informieren Sie sich. Besser gesagt: Der Verkäufer informiert Sie natürlich gerne über die die aktuellen Möglichkeiten möglichst unfallfrei durch die Landschaft zu fahren. Da gibt es Spurhalte-Assistenten, Abstandswarner, Auffahr-Warner, Notbremsassistenten und die Aussicht auf mehr oder minder autonomes Fahren. Alles ganz nett aber natürlich alles nicht im Standardumfang, in dem nur ABS (seit 2004) und Sicherheitsgurt (1974) als Pflichtvorgabe enthalten sind. Zumindest sind fast alle Fahrzeuge mit Airbag ausgestattet, obwohl es nicht Pflicht ist. Aber all die anderen Optionen gibt es in den ein oder anderen Paket-Zusammenstellungen. Die Ähnlichkeiten zu Cloud-Angeboten sind nicht zu leugnen.

Allerdings gibt es auch immer einen Kostenrahmen, den sie nicht überschreiten wollen oder können. Ein hochsicheres Fahrzeug hilft nicht, wenn Sie die Versicherung und den Treibstoff nicht mehr bezahlen können. Genauso isst es bei der IT-Sicherheit. Sie müssen, übertragen gesagt, dem KFZ-Verkäufer einen Preisrahmen nennen und darauf hoffen, dass er ihnen dann ein Fahrzeug mit der möglichen Ausstattung verkauft. Aber er wird natürlich nicht nur an die Sicherheit denken, sondern ihnen etwas von Freiheit, Urlaub, Freude beim Fahren etc. erzählen, denn niemand kauft ein Auto allein wegen der Sicherheit. Die "sieht" und merkt man nämlich nicht und möchte sie idealerweise auch nie benötigen. Das Entertainment-System, die Klimaanlage, die Navigation und all die anderen Annehmlichkeiten verkaufen sich viel einfacher.

Ich möchte damit sagen, dass sie bei der Auswahl der Sicherheit schon selbst ihren Schutzbedarf ermitteln und vorgeben müsse und nur teilweise auf die Mithilfe des Verkäufer hoffen dürfen. Er kann ihnen aber sicher jedes Sicherheitsfeature und den Sinn erklären. Ein Notbremsassistent macht sich schon bezahlt, wenn ein Unfall verhindert wurde. Übrigens soll es auch Versicherungen geben, die geringere Prämien ansetzen, wenn Sie ein Fahrsicherheitstraining absolviert haben. Denken Sie als auch an die Administratoren ihrer Umgebung.

Totalschaden-Risiken in der IT

Vielleicht hat ihre Firma noch keinen großen Schaden erlitten aber sie haben sicher die Meldungen vernommen, dass diverse Firmen durch verschiedene Schadprogramme mehr oder minder großen wirtschaftlichen Schaden erlitten. Dabei gibt es unterschiedliche Unfallarten wie.

  • Verschlüsselte Daten
    Im einfachsten Fall verschlüsselt ein Schadcode mal schnell die Daten und erst gegen Lösegeld werden die Dateien wieder entschlüsselt. Wenn Sie ein Backup haben, können Sie vielleicht eine halbwegs aktuelle Version wieder herstellen aber das dauert Zeit und die fehlenden Daten müssen nachgetragen werden. Produktionsausfälle kosten schnell viel Geld.
  • veröffentlichte Daten
    Mittlerweile genügt es den Angreifern nicht mehr ein Lösegeld für die Entschlüsselung der Daten zu fordern sondern sie ziehen Kopien der Daten, die sie dann über mehrere Wege weiter vermarkten. Das kann eine Erpressung in Form eines Schweigegelds sein mit der Drohung ansonsten die Daten zu veröffentlichen. Das Problem dabei: Selbst mit der Zahlung können Sie nicht sicher sein, dass der Täter alle Kopien löscht. Das wird also eher ein Dauerauftrag, bis die Daten auf für sie als Opfer keinen großen Wert mehr haben.
    Daten können natürlich auch selektiv an andere Firmen oder Staaten verkauft werden. Ich warte ja nur drauf, dass die Täter als dritte Variante auch die betroffenen Dritten zu einer Zahlung auffordern, damit die Daten geheim bleiben. Wenn Verbraucher A bei Schmuddelseite B einkauft und Angreifer C dies nun weiß, dann könnte er nicht nur Schmuddelseite B sondern auch Verbraucher A erpressen.
  • Vertrauen verloren
    Während die ersten beiden "Unfälle" schnell erkannt werden, ist das dritte Szenario diffiziler. Ein Angreifer hat sich einen Zugang zu ihrer Umgebung verschafft aber bleibt "unbemerkt" bis er ausreichend Berechtigungen gesammelt hat. Das kann sich über Monate hinziehen, in der der Angreifer sie ausspäht und erst wenn er Gefahr läuft, entdeckt worden zu sein, aktiviert sich ein finaler Schadcode. Durch die Dauer ist es sehr schwer den Zeitpunkt der ersten Infektion zu bestimmen und sehr schwer oder unmöglich, auf einen "vorherigen Stand" zurück zu rollen. Zumal dann auch die Sicherheitslücken noch nicht gestopft sind

Auf all die anderen kleineren Risiken wie ein Serverausfall, Leitungsdefekt, fehlgeschlagenes Update etc. gehe ich hier nicht weiter ein.

Was ist Tier 0/1/2

Kleine Blech oder Glasschäden, damit meine ich den Ausfall einer Festplatte, Switch oder Server, werden sie in der Regel nicht versichern sondern selbst abwickeln. Es geht aber um die Großschadensfälle, bei denen auch eine Versicherung nur bedingt einspringt. Diese Fälle sind fast immer durch drei Faktoren verursacht:

  • Die falsche Person (mit zu viel Rechten)
  • Am falschen Ort (auf dem zu schlecht gesicherten Client)
  • Das falsche Programm (den unerkannten Schadcode)

Es geht also immer um "zu viel Berechtigungen", denn ein Schadcode ohne Berechtigungen kann auch nichts anfangen. Aber wenn die anderen Eckpunkte vernachlässigt sind, hat der Schadcode zu viele Rechte oder er kann Sie sich besorgen. Dem setzt Microsoft das Tier 0/1/2-Modell entgegen, welches die Berechtigungen vorgibt:


Quelle: Microsoft: Mittlerweile nicht mehr aktuell
https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material

In dem Bild sind die normalen Benutzer gar nicht enthalten. Das Bild soll aber einfach aussagen:

  • Klassifizieren Sie ihre System und Konten
    Tier0 sind besonders zu schützen, z.B. Domain Administratoren und Domain Controller und andere Infrastrukturserver. Dazu zählen auch Dienste, die Tier0 Systeme beschreiben wie z.B. ADSync mit Password HashSync (Liest Hashwerte) und Password WriteBack oder ADFS-Server, die Tokens ausstellen oder Office 365 Passthough Agenten (PTA) und Radius-Server, die ebenfalls Zugriffe gewähren.
    Tier1: Könnten dann z.B. Member-Server mit Daten sein, bei denen ein lokale Zugriff die ansonsten vorhandenen Berechtigungsprüfungen außer Kraft setzen. Ein lokaler Zugriff auf ein Dateisystem als Backup-User oder lokaler Admin umgeht nun mal NTFS-Rechts und Berechtigungen auf dem "Share" oder IIS. Das gilt auch für Postfachzugriffe, wenn ein privilegierter Benutzer die Datenbank per VSS-Clone offline durchstöbert.
    Tier2: sind dann weitere Systeme wie z.B. Workstations, die auch durch Anwender bedient und daher per Se als "kompromittierbar" gelten. Da sollten Sie sich z.B. nie mit einem Tier0 oder Tier1-Konto anmelden.
  • Eigene Konten
    Es gibt immer noch Firmen, in denen Benutzer mit dem gleichen Konto auch administrative Aufgaben übernehmen, weil es "so einfach" ist, z.B. Druckoperatoren oder Berechtigungen im Active Directory zur Veränderung von Gruppenmitgliedschaften. Auch Dienstkonten sollten weder Domain-Admin sein noch sollten mehrere Dienste mit dem gleichen Konto laufen. AD-Anmeldekonten kosten keine CAL. Es gibt keinen Grund, auf getrennte Konten pro Funktion zu verzichten und diesen Konten nur die minimalen Berechtigungen zu geben. Per Default kann sich jedes Mitglied von "Domain-Benutzer" auf jedem Desktop Client anmelden. Dazu gibt es keinen Grund. Sie müssten es nur ändern und nebenbei verhindern sie so auch die Anmeldung von Administratoren auf Systeme mit einem niedrigeren Schutzlevel.
  • Eigene Management Systeme
    User Account Control ist nett aber schützt den Anwender vor zu vielen "Default Rechten". Er muss allerdings auch wissen, was er mit den umfangreicheren Berechtigungen anstellen kann. Es geht aber gar nicht, dass jemand sich auf einem unsicheren Client mit hohen Rechten anmeldet. Es ist allemal besser, wenn dazu per RDP oder ein anderes Protokoll eine entsprechende "Admin Workstation" genutzt wird, auf der gerne auch die Werkzeuge installiert sind. Das vereinfacht nebenbei den Client, erlaubt die Durchsetzung von starken Anmeldeverfahren u.a.

Eigentlich sind das alles "bekannte Fakten", die jeder Administrator irgendwann schon einmal auf die ein oder andere Weise gehört oder gelesen hat. Allerdings ist es schwer eine bereits existierende Umgebung so umzubauen. Es kann immer was dabei schief gehen und schnell wird der Sinn und der Aufwand dann in Frage gestellt. Ich habe ja nicht gesagt, dass der Beruf des IT-Consultants oder Mitarbeiters einfach ist.

Mit dem Tier 0/1/2-Modell ist noch lange nicht alles umgesetzt. Sie können das ganze Thema noch erweitern, indem Sie die administrativen Berechtigungen den Admin-Konten nur auf Zeit und Zuruf geben. In der Cloud nennt Microsoft das "Privileged Identity Management" (PIM), bei dem z-B. jemand andere sie dynamisch in die Berechtigungsgruppe addiert und das System dies protokolliert und nach eingestellter Zeit wieder rückgängig macht. Sie haben in dem Zuge als ein gesondertes Anmeldekonto, welche z.B. Domain-Administrator sein kann aber standardmäßig nicht ist.

Das Bild gibt es mittlerweile in veränderter und erweiterter Form:


Quelle: https://docs.microsoft.com/en-us/security/compass/privileged-access-access-model

Eine weitere Steigerung besteht darin, z.B. die Tier0-Admins gar nicht in ihrem normalen Forest anzulegen. Diese besonderen Konten sind hier sichtbar aber auch angreifbar. Daher können Sie diese Konten in einem eigenen Forest einrichten und mit einem One-Way-Trust zu ihrem regulären Anmeldeforest verknüpfen. Der reguläre Forest vertraut dem abgeschotteten "Admin-Forest", so dass die Administratoren aus diesem Forest berechtigt aber umgekehrt nicht angegriffen werden können.

Right-Sizing

Natürlich ist Tier 0/1/2 ein wichtiger Bausteine und wenn alle Benutzer als Administratoren arbeiten, dann haben sie wirklich etwas falsch gemacht. Aber ob die volle Ausprägung für einen Mittelständler mit 1000 Benutzern notwendig ist, stelle ich zumindest in Frage. Natürlich sind sauber getrennte Dienstkonten, getrennte Administratoren wichtig und zumindest in einer ersten Phase gut einzurichten. Ein vereinfachtes Modell mit 2 Level wäre aber auch ein Anfang und einen zweiten Admin-Forest mit PIM würde ich erst später angehen. Es gibt nämlich noch ganz viele Dinge, die mit wenig Aufwand und geringen Kosten schon sehr viel mehr Sicherheit bringen und vermutlich auch einfacher und damit günstiger zu betreiben sind.

  • Leistungsfähiger Antivirus
    Das bedeutet nicht, nur eine Software zu haben sondern sie muss auf allen Systemen aktiv und aktuell sein. Das allein kann schon eine Herausforderung sein.
  • Applocker und Code Signing
    Der normale Anwender ist ein Risiko, denn er ist authentifiziert, dezentral und nicht immer vorsichtig. Warum sollte er beliebige Programme starten können. Selbst als Anwender kann er viele Daten verschlüsseln. Eine "Arbeitsplatzeschreibung" kann auch eine Positiv-Liste der Software enthalten und per AppLocker kann ich alles andere unterbinden. Klar muss ich als Admin dann meine eigenen Skripte und Pakete auch per "Codesigning" signieren und es wird etwas unbequemer. Aber Sicherheit war noch nicht bequem.
  • Inventory, Patch-Management mit "Ausschluss"
    Ein System, welches nicht regelmäßig sich mit Updates versorgt und sein Kennwort ändert (Windows Domain Clients machen das alle 30 Tage per Default) fliegt aus, d.h. gilt als nicht vertrauenswürdig und in Verbindung mit 802.1x kann so ein System dann in ein anderes VLAN bis zum Update verschoben werden.
  • LAPS - Local Admin Password Solution
    Stellen Sie sich selbst die Frage: Wer weiß alles das Admin-Kennwort der Clients?. LAPS kann das Problem verringern.
  • Netzwerkports mit 802.1x absichern
    Das Risiko eines "fremden Clients" im LAN ist nur ein Grund für 802.1x. Ich kann damit auch Geräte abhängig von ihrem Status in VLANs verlagern und Ports in der Produktion/Vertriebsniederlassung absichern. Nebenbei kann ein Admin auch schnell eine Liste erstellen, wo welche Clients gerade aktiv sind. Im Krisenfall ein wichtiger Aspekt
  • Bitlocker und Antivirus auch auf Servern
    Auch wenn es so ein "Recovery" von Disks erschwert ist und es etwas Performance kosten und Wechselwirkungen nicht ausgeschlossen sind, sollte ein Malware-Scanner auf Servern aktiv sein um "unliebsame" Prozesse zu blockieren.
  • ...

Ich könnte die Liste noch lange weiterführen. Die meisten Administratoren wissen gar nicht, welche Produkte und Features mittlerweile schon in Windows zum Lieferumfang gehören oder mit einem passenden Office 365 Paket "mit drin" sind. Schon hier können Sie ansetzen.

Security Checkliste

Siehe dazu Checkliste Security.

Andere Tools

Microsoft hat selbst eine entsprechende Liste "Risk Assessment". Diese ist aber auch nicht "Public" und der Download zu einem Security Assessment Tool 4.0 ist schon von 2009.

Microsoft Security Assessment Tool 4.0
https://www.microsoft.com/en-us/download/details.aspx?id=12273

Data Protection Resources
https://servicetrust.microsoft.com/ViewPage/TrustDocumentsV3

Weitere Links