Tier 0/1/2 Security ist nicht alles

Auf der Seite möchte ich das von Microsoft propagierte Tier 0/1/2-Modell für einen geschützten Zugriff vorstellen aber zugleich auch beschreiben, das allein das Modell nicht ausreichend ist. Für viele Kunden könnte die komplette Umsetzung sogar zu viele Ressourcen binden und Kosten verursachen, die dann die Umsetzung drängenderer Bausteine verzögern oder unmöglich machen. Beim Auto sind Sicherheitsgurt, Airbags und ABS ja auch wichtiger als ein Spurhalteassistent.

Sie hatten einen Unfall

Führen wir den Vergleich mit einem Auto-Unfall weiter. Ihr bisheriges Auto noch nicht "alles" was möglich ist und durch den Totalschaden müssen Sie wieder neu anfangen. Natürlich hilft ihnen beim Unfall der Krankenwagen und das Abschlepp-Unternehmen, was nicht ganz billig ist. Beim nächsten Auto wollen Sie aber mehr Sicherheit. Klar hatte auch ihr bisheriges Fahrzeug schon einen Airbag und Sicherheitsgurte, weil es ja "Pflicht" war. Es war ja kein Oldtimer für die Schönwetter-Ausfahrt, sondern eher das Standardmodell.

Nun stehen sie aber vor der Neuanschaffung. Sie gehen also in das nächste Autohaus und informieren Sie sich. Besser gesagt: Der Verkäufer informiert Sie natürlich gerne über die die aktuellen Möglichkeiten möglichst unfallfrei durch die Landschaft zu fahren. Da gibt es Spurhalte-Assistenten, Abstandswarner, Auffahr-Warner, Notbremsassistenten und die Aussicht auf mehr oder minder autonomes Fahren. Alles ganz nett aber natürlich alles nicht im Standardumfang, in dem nur ABS (seit 2004) und Sicherheitsgurt (1974) als Pflichtvorgabe enthalten sind. Zumindest sind fast alle Fahrzeuge mit Airbag ausgestattet, obwohl es nicht Pflicht ist. Aber all die anderen Optionen gibt es in den ein oder anderen Paket-Zusammenstellungen. Die Ähnlichkeiten zu Cloud-Angeboten sind nicht zu leugnen.

Allerdings gibt es auch immer einen Kostenrahmen, den sie nicht überschreiten wollen oder können. Ein hochsicheres Fahrzeug hilft nicht, wenn Sie die Versicherung und den Treibstoff nicht mehr bezahlen können. Genauso isst es bei der IT-Sicherheit. Sie müssen, übertragen gesagt, dem KFZ-Verkäufer einen Preisrahmen nennen und darauf hoffen, dass er ihnen dann ein Fahrzeug mit der möglichen Ausstattung verkauft. Aber er wird natürlich nicht nur an die Sicherheit denken, sondern ihnen etwas von Freiheit, Urlaub, Freude beim Fahren etc. erzählen, denn niemand kauft ein Auto allein wegen der Sicherheit. Die "sieht" und merkt man nämlich nicht und möchte sie idealerweise auch nie benötigen. Das Entertainment-System, die Klimaanlage, die Navigation und all die anderen Annehmlichkeiten verkaufen sich viel einfacher.

Ich möchte damit sagen, dass sie bei der Auswahl der Sicherheit schon selbst ihren Schutzbedarf ermitteln und vorgeben müsse und nur teilweise auf die Mithilfe des Verkäufer hoffen dürfen. Er kann ihnen aber sicher jedes Sicherheitsfeature und den Sinn erklären. Ein Notbremsassistent macht sich schon bezahlt, wenn ein Unfall verhindert wurde. Übrigens soll es auch Versicherungen geben, die geringere Prämien ansetzen, wenn Sie ein Fahrsicherheitstraining absolviert haben. Denken Sie als auch an die Administratoren ihrer Umgebung.

Totalschaden-Risiken in der IT

Vielleicht hat ihre Firma noch keinen großen Schaden erlitten aber sie haben sicher die Meldungen vernommen, dass diverse Firmen durch verschiedene Schadprogramme mehr oder minder großen wirtschaftlichen Schaden erlitten. Dabei gibt es unterschiedliche Unfallarten wie.

  • Verschlüsselte Daten
    Im einfachsten Fall verschlüsselt ein Schadcode mal schnell die Daten und erst gegen Lösegeld werden die Dateien wieder entschlüsselt. Wenn Sie ein Backup haben, können Sie vielleicht eine halbwegs aktuelle Version wieder herstellen aber das dauert Zeit und die fehlenden Daten müssen nachgetragen werden. Produktionsausfälle kosten schnell viel Geld.
  • veröffentlichte Daten
    Mittlerweile genügt es den Angreifern nicht mehr ein Lösegeld für die Entschlüsselung der Daten zu fordern sondern sie ziehen Kopien der Daten, die sie dann über mehrere Wege weiter vermarkten. Das kann eine Erpressung in Form eines Schweigegelds sein mit der Drohung ansonsten die Daten zu veröffentlichen. Das Problem dabei: Selbst mit der Zahlung können Sie nicht sicher sein, dass der Täter alle Kopien löscht. Das wird also eher ein Dauerauftrag, bis die Daten auf für sie als Opfer keinen großen Wert mehr haben.
    Daten können natürlich auch selektiv an andere Firmen oder Staaten verkauft werden. Ich warte ja nur drauf, dass die Täter als dritte Variante auch die betroffenen Dritten zu einer Zahlung auffordern, damit die Daten geheim bleiben. Wenn Verbraucher A bei Schmuddelseite B einkauft und Angreifer C dies nun weiß, dann könnte er nicht nur Schmuddelseite B sondern auch Verbraucher A erpressen.
  • Vertrauen verloren
    Während die ersten beiden "Unfälle" schnell erkannt werden, ist das dritte Szenario diffiziler. Ein Angreifer hat sich einen Zugang zu ihrer Umgebung verschafft aber bleibt "unbemerkt" bis er ausreichend Berechtigungen gesammelt hat. Das kann sich über Monate hinziehen, in der der Angreifer sie ausspäht und erst wenn er Gefahr läuft, entdeckt worden zu sein, aktiviert sich ein finaler Schadcode. Durch die Dauer ist es sehr schwer den Zeitpunkt der ersten Infektion zu bestimmen und sehr schwer oder unmöglich, auf einen "vorherigen Stand" zurück zu rollen. Zumal dann auch die Sicherheitslücken noch nicht gestopft sind

Auf all die anderen kleineren Risiken wie ein Serverausfall, Leitungsdefekt, fehlgeschlagenes Update etc. gehe ich hier nicht weiter ein.

Was ist Tier 0/1/2

Kleine Blech oder Glasschäden, damit meine ich den Ausfall einer Festplatte, Switch oder Server, werden sie in der Regel nicht versichern sondern selbst abwickeln. Es geht aber um die Großschadensfälle, bei denen auch eine Versicherung nur bedingt einspringt. Diese Fälle sind fast immer durch drei Faktoren verursacht:

  • Die falsche Person (mit zu viel Rechten)
  • Am falschen Ort (auf dem zu schlecht gesicherten Client)
  • Das falsche Programm (den unerkannten Schadcode)

Es geht also immer um "zu viel Berechtigungen", denn ein Schadcode ohne Berechtigungen kann auch nichts anfangen. Aber wenn die anderen Eckpunkte vernachlässigt sind, hat der Schadcode zu viele Rechte oder er kann Sie sich besorgen. Dem setzt Microsoft das Tier 0/1/2-Modell entgegen, welches die Berechtigungen vorgibt:

In dem Bild sind die normalen Benutzer gar nicht enthalten. Das Bild soll aber einfach aussagen:

  • Klassifizieren Sie ihre System und Konten
    Tier0 sind besonders zu schützen, z.B. Domain Admins und Domain Controller und andere Infrastrukturserver. Dazu zählen auch Dienste, die Tier0 Systeme beschreiben wie z.B. ADSync mit Password HashSync (Liest Hashwerte) und Password WriteBack oder ADFS-Server, die Tokens ausstellen oder Office 365 Passthough Agenten (PTA) und Radius-Server, die ebenfalls Zugriffe gewähren.
    Tier1: Könnten dann z.B. Member-Server mit Daten sein, bei denen ein lokale Zugriff die ansonsten vorhandenen Berechtigungsprüfungen außer Kraft setzen. Ein lokaler Zugriff auf ein Dateisystem als Backup-User oder lokaler Admin umgeht nun mal NTFS-Rechts und Berechtigungen auf dem "Share" oder IIS. Das gilt auch für Postfachzugriffe, wenn ein privilegierter Benutzer die Datenbank per VSS-Clone offline durchstöbert.
    Tier2: sind dann weitere Systeme wie z.B. Workstations, die auch durch Anwender bedient und daher per Se als "komprommitierbar" gelten. Da sollten Sie sich z.B. nie mit einem Tier0 oder Tier1-Konto anmelden.
  • Eigene Konten
    Es gibt immer noch Firmen, in denen Benutzer mit dem gleichen Konto auch administrative Aufgaben übernehmen, weil es "so einfach" ist, z.B. Druckoperatoren oder Berechtigungen im Active Directory zur Veränderung von Gruppenmitgliedschaften. Auch Dienstkonten sollten weder Domain-Admin sein noch sollten mehrere Dienste mit dem gleichen Konto laufen. AD-Anmeldekonten kosten keine CAL. Es gibt keinen Grund, auf getrennte Konten pro Funktion zu verzichten und diesen Konten nur die minimalen Berechtigungen zu geben. Per Default kann sich jedes Mitglied von "Domain-Benutzer" auf jedem Desktop Client anmelden. Dazu gibt es keinen Grund. Sie müssten es nur ändern und nebenbei verhindern sie so auch die Anmeldung von Administratoren auf Systeme mit einem niedrigeren Schutzlevel.
  • Eigene Management Systeme
    User Account Control ist nett aber schützt den Anwender vor zu vielen "Default Rechten". Er muss allerdings auch wissen, was er mit den umfangreicheren Berechtigungen anstellen kann. Es geht aber gar nicht, dass jemand sich auf einem unsicheren Client mit hohen Rechten anmeldet. Es ist allemal besser, wenn dazu per RDP oder ein anderes Protokoll eine entsprechende "Admin Workstation" genutzt wird, auf der gerne auch die Werkzeuge installiert sind. Das vereinfacht nebenbei den Client, erlaubt die Durchsetzung von starken Anmeldeverfahren u.a.

Eigentlich sind das alles "bekannte Fakten", die jeder Administrator irgendwann schon einmal auf die ein oder andere Weise gehört oder gelesen hat. Allerdings ist es schwer eine bereits existierende Umgebung so umzubauen. Es kann immer was dabei schief gehen und schnell wird der Sinn und der Aufwand dann in Frage gestellt. Ich habe ja nicht gesagt, dass der Beruf des IT-Consultants oder Mitarbeiters einfach ist.

Mit dem Tier 0/1/2-Modell ist noch lange nicht alles umgesetzt. Sie können das ganze Thema noch erweitern, indem Sie die administrativen Berechtigungen den Admin-Konten nur auf Zeit und Zuruf geben. In der Cloud nennt Microsoft das "Privileged Identity Management" (PIM), bei dem z-B. jemand andere sie dynamisch in die Berechtigungsgruppe addiert und das System dies protokolliert und nach eingestellter Zeit wieder rückgängig macht. Sie haben in dem Zuge als ein gesondertes Anmeldekonto, welche z.B. Domain-Administrator sein kann aber standardmäßig nicht ist.

Eine weitere Steigerung besteht darin, z.B. die Tier0-Admins gar nicht in ihrem normalen Forest anzulegen. Diese besonderen Konten sind hier sichtbar aber auch angreifbar. Daher können Sie diese Konten in einem eigenen Forest einrichten und mit einem One-Way-Trust zu ihrem regulären Anmeldeforest verknüpfen. Der reguläre Forest vertraut dem abgeschotteten "Admin-Forest", so dass die Administratoren aus diesem Forest berechtigt aber umgekehrt nicht angegriffen werden können.

Right-Sizing

Natürlich ist Tier 0/1/2 ein wichtiger Bausteine und wenn alle Benutzer als Administratoren arbeiten, dann haben sie wirklich etwas falsch gemacht. Aber ob die volle Ausprägung für einen Mittelständler mit 1000 Benutzern notwendig ist, stelle ich zumindest in Frage. Natürlich sind sauber getrennte Dienstkonten, getrennte Administratoren wichtig und zumindest in einer ersten Phase gut einzurichten. Ein vereinfachtes Modell mit 2 Level wäre aber auch ein Anfang und einen zweiten Admin-Forest mit PIM würde ich erst später angehen. Es gibt nämlich noch ganz viele Dinge, die mit wenig Aufwand und geringen Kosten schon sehr viel mehr Sicherheit bringen und vermutlich auch einfacher und damit günstiger zu betreiben sind.

  • Leistungsfähiger Antivirus
    Das bedeutet nicht, nur eine Software zu haben sondern sie muss auf allen Systemen aktiv und aktuell sein. Das allein kann schon eine Herausforderung sein.
  • Applocker und Code Signing
    Der normale Anwender ist ein Risiko, denn er ist authentifiziert, dezentral und nicht immer vorsichtig. Warum sollte er beliebige Programme starten können. Selbst als Anwender kann er viele Daten verschlüsseln. Eine "Arbeitsplatzeschreibung" kann auch eine Positiv-Liste der Software enthalten und per AppLocker kann ich alles andere unterbinden. Klar muss ich als Admin dann meine eigenen Skripte und Pakete auch per "Codesigning" signieren und es wird etwas unbequemer. Aber Sicherheit war noch nicht bequem.
  • Inventory, Patch-Management mit "Ausschluss"
    Ein System, welches nicht regelmäßig sich mit Updates versorgt und sein Kennwort ändert (Windows Domain Clients machen das alle 30 Tage per Default) fliegt aus, d.h. gilt als nicht vertrauenswürdig und in Verbindung mit 802.1x kann so ein System dann in ein anderes VLAN bis zum Update verschoben werden.
  • LAPS - Local Admin Password Solution
    Stellen Sie sich selbst die Frage: Wer weiß alles das Admin-Kennwort der Clients?. LAPS kann das Problem verringern.
  • Netzwerkports mit 802.1x absichern
    Das Risiko eines "fremden Clients" im LAN ist nur ein Grund für 802.1x. Ich kann damit auch Geräte abhängig von ihrem Status in VLANs verlagern und Ports in der Produktion/Vertriebsniederlassung absichern. Nebenbei kann ein Admin auch schnell eine Liste erstellen, wo welche Clients gerade aktiv sind. Im Krisenfall ein wichtiger Aspekt
  • Bitlocker, auch auf Servern
  • ...

Ich könnte die Liste noch lange weiterführen. Die meisten Administratoren wissen gar nicht, welche Produkte und Features mittlerweile schon in Windows zum Lieferumfang gehören oder mit einem passenden Office 365 Paket "mit drin" sind. Schon hier können Sie ansetzen.

Secure Score in der Cloud

Wer einmal den Schaden hatte, wird natürlich alles daran setzen kein zweites Mal den gleichen Fehler zu machen. Wir kommen aber wieder auf die Kostensituation zurück, denn Sicherheit kostet Geld und die verfügbaren Mittel sind immer beschränkt. Sie können daher nicht alles haben und Sie wollen vielleicht auch nicht alles haben, was ihnen der Autoverkäufer gerne hinein konfigurieren möchte. Es geht dabei nicht nur um die direkt bezifferbaren Kosten für Lizenzen und Server. Auch der Betrieb, die Konfiguration, die Reaktion auf nun überhaupt erkannte Vorfälle etc. erfordert Arbeitszeit, die letztlich immer auf einen Betrag umgerechnet werden kann. Da Sie nie alle Funktionen umsetzen können, müssen sie priorisieren, selektieren, bewerten und am Ende ihre Argumentation und Empfehlung durch die Unternehmensleitung absegnen lassen.

Microsoft bietet in der Cloud z.B. einen "Secure Score" an, mit der Office 365 und Azure ihre Cloud-Umgebung bewertet und ihnen Hinweise auf Optimierungen gibt.

In diesem Test-Tenants nicht gar nichts aktiviert und entsprechend viele offene Punkte stehen hier aus. Mit Azure ATP gibt es fertige Produkte zur Installation auf ihrem DC um kritische Eventlogs in der Cloud zu analysieren und mit Azure Sentinel können Sie ein SIEM dazukaufen. Aber ehe Sie die virtuelle Kreditkarte über die Kasse ziehen, bedarf es einer Bewertung der Risiken und Möglichkeiten, eine Auflistung der Kosten und erforderlichen Personentage, so dass Sie fundierte Daten für eine Abschätzung der Zeit und des Umfangs haben.

OnPremises Checkliste

Wir bei Net at Work pflegen dazu eine Checkliste, die wir bei Kunden im Dialog bearbeiten und damit die Reihenfolge festlegen. Die Herausforderung ist nicht, ein System sicher zu machen, sondern kontinuierlich "sicherer" zu konfigurieren und zu betreiben. Oft sind es Kleinigkeiten, die den Schutz deutlich verbessern:

Bereich Thema Gewichtung Betriebskosten Arbeitsaufwand Umsetzung (Zeitplan)

Client

Antivirus

*****

Software

AppLocker

***

Software

CodeSigning Pflicht

**

Accounts

Kennwortrichtlinie

***

Accounts

Conditional Access

***

Systeme

Patchmanagement/Firmware

******

Netzwerk

802.1x

**

Accounts

Tier 0/1/2-Berechtigungskonzept

****

Accounts

Hardened Forest

*

Server

Dedizierte DCs (Keine anderen Dienste)

****

Accounts

Dedizierte Dienstkonten mit minimale Rechten

****

SIEM

Tracking der Anmeldungen (Desktop, Server, Postfach VPN) 

**

Netzwerk

Mac Address Tracking

*

Mail

Spamfilter

*****

Mail

Attachment Filter(EXE)

*****

Mail

Makrofilter (DOC, XLS)

*****

Mail

Anonyme Annahme per SMTP von intern beschränken.

*****

Netzwerk

Segmentierung planen

**

Client

Windows LAPS (Local Admin)

****

Service

HTTPS-Zwang mit gültigen Zertifikaten für interne Webseiten 

***

Server/Client

TLS 1.2-Zwang (Abschalten SSL/TLS 1.0)

***

Server

Bitlocker auf Server

*

VPN 

Zertifikate statt Kennwort

***

und

viele

weitere

Punkte

 

 

Zu jedem Punkt ist eine Erklärung zum Risiko, der Schutzfunktion und der Umsetzung erforderlich. Bitte haben Sie aber Verständnis, dass ich hier keine fertige Excel-Liste bereitstelle. Dazu steckt zu viel Arbeit in diesen Unterlagen und letztlich gehört das Gespräch dazu.

Andre Tools

Microsoft hat selbst eine entsprechende Liste "Risk Assessment". Diese ist aber auch nicht "public" und der Download zu einem Security Assessemnt Tool 4.0 ist schon von 2009

Microsoft Security Assessment Tool 4.0
https://www.microsoft.com/en-us/download/details.aspx?id=12273

Data Protection Resources
https://servicetrust.microsoft.com/ViewPage/TrustDocumentsV3

Weitere Links