Sicherheitsempfehlungen für den Zugriff auf administrative Jump-Server unter Windows
Die Nutzung von zwei Benutzerkonten für unterschiedliche IT-Aufgabenbereiche (2-Benutzerregel) ist eine bewährte und seit Jahren empfohlene Arbeitsweise, um die systemweite Infektion von Systemen mit Malware zu vermeiden.
Die 2-Benutzerregel bedeutet in der Praxis, dass alltägliche Arbeiten mit Internetzugriff (E-Mails lesen, Webseiten aufrufen, Büroarbeit usw.) mit einem nicht administrativen Konto erledigt werden und administrative Konten nur für Systemverwaltungsaufgaben OHNE Internetzugriff benutzt werden, damit die Systeme besser vor Malware geschützt sind.
2-Benutzerregel kein hundertprozentiger Schutz vor Malware
Die 2-Benutzerregel kann jedoch Malware-Infektionen der jeweiligen Benutzerumgebung ohne Software Whitelisting NICHT SICHER verhindern. Daher ist der Einsatz von Software Whitelisting die Voraussetzung für einen langfristig sicheren Betrieb von Windows-Systemen, s. dazu auch
- https://www.itmz.uni-rostock.de/anwendungen/software/windows/sicherheit/grundlagen/software-whitelisting/
- https://www.itmz.uni-rostock.de/anwendungen/software/windows/sicherheit/fuenf-grundregeln-fuer-den-sicheren-betrieb-von-windows-systemen/
- https://www.itmz.uni-rostock.de/anwendungen/software/windows/sicherheit/software-whitelisting-der-bessere-schutz-vor-malware/
Sicherheitsniveau von Endgeräten beim Zugriff auf Jump-Server ist relevant
Alle Endgeräte, einschließlich der im Homeoffice eingesetzten Endgeräte, welche für den Zugriff auf administrative Jump-Server benutzt werden, MÜSSEN frei von Malware sein (Clean-Source-Prinzip und Clean-Keyboard-Prinzip), da ansonsten die Gefahr besteht, dass durch Malware sämtliche Tastatureingaben aufgezeichnet werden oder das Endgerät durch eine Fernwartungssoftware übernommen wird und dann eine Kompromittierung des benutzten Jump-Servers NICHT ausgeschlossen werden kann.
Dies gilt für ALLE Systeme, über die der Zugriff auf den administrativen Jump-Server erfolgt.
Ein Beispiel: Der Zugriff auf den administrativen Jump-Server erfolgt vom Homeofficesystem über das Bürosystem also
System im Homeoffice -> System im Büro -> Jump-Server
Dann müssen das Homeofficesystem und das Bürosystem frei von Malware sein.
Das Clean-Source-Prinzip verlangt, dass die zugreifenden Endgeräte genauso vertrauenswürdig sind wie der Jump-Server.
Das Sicherheitsniveau eines benutzten Endgerätes darf nicht geringer sein als das Sicherheitsniveau des benutzten administrativen Jump-Servers. Daher müssen auf die benutzten Endgeräte dieselben Sicherheitsmaßnahmen angewendet werden wie auf den administrativen Jump-Server.
Nutzung von Software Whitelisting und 2-Benutzerregel
Die Nutzung von Software Whitelisting und der 2-Benutzerregel auf dem jeweiligen Endgerät ist die Voraussetzung für den sicheren Zugriff auf administrative Jump-Server, da dies eine Kompromittierung von Systemen durch installierte Keylogger oder Fernwartungssoftware verhindern kann.
Die 2-Systemeregel
Die Sicherheit lässt sich weiter erhöhen, indem die 2-Benutzerregel auf die benutzten Endgeräte angewendet wird.
Die 2-Systemeregel beruht auf dem Einsatz von einem System für ausschließlich administrative Arbeiten (Admin-System) und einem System für nicht administrative Arbeiten (User-System).
- Das Admin-System MUSS ein physisches System sein
(z.B. stationärer PC, Laptop, Tablet usw.) - Das User-System KANN ein physisches oder ein virtuelles System sein
Die einfachste Umsetzung der 2-Systemeregel ist die Benutzung zweier physischer Endgeräte:
- ein Admin-System ohne Internet-Zugriff für ausschließlich administrative Arbeiten
und - ein User-System für alltägliche Arbeiten mit uneingeschränktem Internetzugriff
Ein weiteres mögliches Einsatzszenario ist ein physisches Admin-System auf dem ein virtuelles User-System läuft.
Admin-System mit User-System als virtuelle Maschine
Wichtig!
Der Zugriff auf das Admin-System muss entweder lokal über die Konsole oder remote über ein anderes Admin-System erfolgen, um das Clean-Source-Prinzip zu erfüllen.
- Kein Zugriff auf Admin-Systeme von User-Systemen
Empfehlungen für den Zugriff auf administrative Jump-Server
Windows-Systeme, die für den Zugriff auf administrative Jump-Server benutzt werden, sind Admin-Systeme und sollten daher folgende Anforderungen erfüllen:
Mindestanforderungen (Must-have)
- Die Systeme MÜSSEN mit Software Whitelisting und 2-Benutzerregel konfiguriert sein, wie dokumentiert unter
"Grundsätzliche Hinweise zum sicheren Betrieb von Windows-Systemen"
Dringend empfohlen
Die Webbrowsernutzung erfolgt für ALLE Benutzer ausschließlich im URL-Zugriffsmodus "Deny-All", damit Webzugriffe auf explizit zugelassene URLs beschränkt werden können, s. dazu auch Punkt 2 aus "Grundregeln für das sichere Arbeiten als Administrator auf Windows-Systemen"
Mailprogramme werden nicht direkt benutzt, sondern aussschließlich über entsprechende Remotedesktopserver oder virtuelle Maschinen.
Bürokommunikation mittels Webbrowser, Office-Programmen, Videokonferenzanwendungen etc. mit unbeschränktem Internetzugriff erfolgt nicht direkt, sondern ausschließlich über entsprechende Remotedesktopserver oder virtuelle Maschinen.
Alle zentral verwalteten Windows Clientsysteme des ITMZ erfüllen die Mindestanforderung und alle zentral verwalteten Windows Serversysteme des ITMZ grundsätzlich die zusätzlich empfohlenen Anforderungen für den Zugriff auf administrative Jump-Server unter Windows.
Quellen
- https://learn.microsoft.com/en-us/security/privileged-access-workstations/privileged-access-devices
- https://learn.microsoft.com/en-us/security/privileged-access-workstations/legacy-privileged-access-devices
- https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/secure-administrative-workstations/ba-p/258424
- https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/protecting-tier-0-the-modern-way/ba-p/4052851
- https://web.archive.org/web/20200821040844/https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/privileged-access-workstations
- https://www.teal-consulting.de/2021/04/15/esae-deep-dive-serie-teil-9-privilege-admin-workstation-paw/
- https://www.teal-consulting.de/2022/08/16/privileged-access-workstation-deep-dive-und-praktische-umsetzung/