PIM/PAM - Least Privileges

Wenn ein Angreifer einen Admin kapert, hat er quasi den Jackpot. Diese Seite beschreibt die PIM/PAM als mögliche Absicherung für Microsoft 365 aber auch für OnPremises.

Begriffsdefinition

Im EntraID müssen Sie eine EntraID P2-Lizenz für jeden Administrator kaufen, dessen Berechtigungen mittels PIM besser abgesichert sein sollen. Auf der anderen Seite gibt es aber noch PAM, was sehr ähnlich klingt. Ich merke mir das wie folgt:

  • Privileged Identity Management (PIM)
    Administrative Anwender haben keine Berechtigungen, aber können sich diese Berechtigungen "anfordern". Sie werden dann zeitlich begrenzt zugewiesen und die Zuweisung selbst kann durch einen Genehmigungsprozess abgesichert werden. Wenn ich also "Global Admin" werden will, dann bitte ich meine Kollegen darum und beschreibe auch, warum und wie lange ich die Berechtigungen benötige. Die Genehmigung kann quasi auch ein Vorgesetzter oder Kollege geben und wir haben damit mindestens ein Vier-Augen-Prinzip für die Erlangung der Berechtigungen
  • Privileged Access Management (PAM)
    Die zweite Komponente ist die Überwachung der privilegierten Berechtigungen. Als GlobalAdmin oder Domain Admin könnte ich ja eine andere Person dauerhaft mehr Berechtigungen geben. PAM überwacht die sensiblen Gruppe und Benutzer und was diese tun. Es fängt bei einem Bericht an, in dem erst einmal alle berechtigten Personen aufgeführt werden.

Beide Bausteine sind wichtig für ein sicheres Administrationsmodell aber nicht alle Firmen setzen es entsprechend um. Zum einen ist es eine Kostenfrage aber viel mehr noch muss das Berechtigungsmanagement, das Rollenkonzept etc. erst einmal erstellt und umgesetzt werden. Es gibt aber noch zwei weitere Schlagworte, die zur Vollständigkeit erwähnt werden sollen:

  • CIEM (Cloud Infrastructure Entitlement Management)
    Solche Produkte steuern die Berechtigungsverwaltung in der Cloud. Im Prinzip ein andere Begriff für PIM, der aber oft in Verbindung mit Amazon AWS oder Google Clouddiensten verwendet wird. Auch hier geht es um die Arbeit mit möglichst geringen Berechtigungen (
  • SIEM (Security information and event management)
    Ein SIEM sammelt Events und Informationen der Systeme und Änderungen. Es ist aber nicht wie PAM auf "Access Management" beschränkt, sondern im Grund kann alles ein "relevanter Event" sein. z.B. auch der Aufbaue einer VPN-Verbindung, eine Konfigurationsänderung etc.

Für die weitere Seite beschränke ich mich auf PIM/PAM 

Die Zeit vor PIM

Es geht letztlich kein Weg an PIM dran vorbei, denn dauernd als "Domain Admin" seine Mails zu bearbeiten und im Internet zu recherchieren mag zwar einfache und zeitsparend sein. Es ist aber definitiv der unsicherste Weg und leider noch viel zu oft so im Einsatz. Die erste Stufe wäre ja schon einmal getrennte Konten für die Administration und den normalen Betrieb. Ich würde sogar noch weiter gehen und sagen, dass jeder Mensch, der irgendwo administrative Rollen einnimmt, ein separates und persönliches Admin-Konto bekommt. Es gab Zeiten, da habe ich bis zu drei Konten:

  • CARIUS
    Mein reguläres Benutzerkonto mit Mail, Teams, Internetzugriffe, Microsoft Office
  • ADM-CARIUS
    Ein separates Admin-Konto mit Berechtigungen auf die Server und Systeme, für die ich verantwortlich bin, z.B. Exchange Server. Dieses Konto hat aber keine DomainAdmin-Rechte o.ä.
  • DOM-CARIUS
    Aufgrund der Sonderstellung von "DomainAdmins" habe ich dazu sogar ein drittes Konto mit einem hoffentlich besonders sicheren Kennwort. Auf Anmeldungen dieses Kontos kann man auch direkt Alarme an andere Administratoren erzeugen lassen, denn das Konto sollte ich idealerweise nie im Regelbetrieb nutzen.

Nun gibt es aber auch Funktionen, die ich nicht immer brauche. Als "Exchange Admin" brauche ich manchmal auch die Rechte das Schema zu erweitern, wenn dies nicht eine andere Abteilung macht. Dennoch sollte ich nicht 24x7x365 Stunden dieses Rechte innehaben. Und da kommt dann PIM ins Spielt, welches meinem ADM-CARIUS temporär die Rechte gibt und danach wieder entfernt.

Mit PAM würde der Bericht genau auflisten, welche Rechte jedes dieser drei Konten hat. Mit PIM könnte ich aber die beiden Konten "ADM-CARIUS" und "DOM-CARIUS" in ein Konto "ADM-CARIUS" zusammenfassen, denn Sie haben im Ruhezustand gar keine besonderen Berechtigungen. Erst durch PIM kann ich dann z.B. meinen ADM-CARIUS für eine begrenzte Zeit die gewünschten Privilegien einräumen. Wenn ich es noch einfacher machen möchte, dann würde ich sogar nur noch ein Konto "CARIUS" nutzen welches per PIM dann immer temporär berechtigt wird. Das finde ich aber nicht sicher genug, denn dann wäre mein "reguläres Arbeitskonto", mit dem ich auch Mails lesen und im Internet surfe und sicher das ein oder andere PowerShell Modul nutze, ein Einfallstor. PIM/PAM geht weiter als das bisherige Konzept der "Least Privileges", d.h. dass ein Admin-Konto nur die erforderlichen Rechte hat. Selbst das ist heute zu viel.

PIM/PAM in Microsoft 365

Microsoft 365 hat in der Vergangenheit immer mehr die Zügel gestrafft und eine höhere Sicherheit angestrebt. Ganz ohne Lizenz haben Sie schon einmal Security Defaults, die aus meiner Sicht aber nicht sicher genug (Siehe QR-Code Phishing mit Microsoft 365) und auch  Risiko orgweiter Consent und Phishing mit Consent-Anforderung sind immer noch reale Risiken. Security Default zwingt nur "Administratoren" zu MFA aber keine regulären Benutzer. Schon deswegen sollten normale "Benutzer-Konten" nie administrative Berechtigungen erhalten.

Mit EntraID-P1 bekommen Sie schon mal eine bessere Steuerung von MFA mittels Conditional Access. Bei geeigneter Konfiguration wird es damit schwerer, ein Konto allein mit Benutzername/Kennwort zu kapern. Aber auch dann gibt es Wege, wie die Vergangenheit gezeigt hat, sei es durch MFA-Flodding oder Abfischen von OAUTH-Tokens oder MTM-Attacken.

Es ist also allemal besser, die Berechtigungen mittels PIM erst dann zu bekommen, wenn man sie wirklich ausüben möchte und die privilegierten Konten und deren Einsatz mit PAM entsprechend zu überwachen.

PIM/PAM OnPremises

Anfangs hatte ich hier weitere Kapitel zum Einsatz von PIM und OnPremises-Umgebungen. Dann wurde der Text aber immer länger, so dass ich ihn auf eigene Seiten verlagert habe

Weitere Links