
02 Mai ESAE Serie Teil 1 – Einleitung
In der Blog Kategorie „Secure Administration Environment” möchten wir unsere Erfahrungen von Kundenprojekten rund um Microsofts Enhanced Security Administration Environment (ESAE) wiedergeben, sodass andere von unseren Erfahrungen lernen können und nicht über die gleichen Probleme stolpern wie wir.
Den Anfang machen wird eine Serie über ein sehr spannendes Thema, welches wir für einen global tätigen Versicherer in den letzten Monaten bearbeiten durften: Den kompletten Aufbau einer von ESAE inspirierten Umgebung.
In diesem ersten Artikel der Serie möchten wir erklären, worum es sich dabei handelt und warum man es braucht und aus welchen Komponenten die Umgebung besteht. In weiteren Artikeln werden wir einzelne Komponenten näher beleuchten, um im letzten Artikel unsere praktischen Erfahrungen und unseren Umgang mit den Stolpersteinen zusammenzufassen.
ESAE ist ein Design Approach von Microsoft (ESAE Dokumentation von Microsoft) um Credential Theft und Pass the Hash \ Pass the Ticket Angriffe zu erschweren bzw. deren Auswirkung zu reduzieren. Zu den Themen Credential Theft, Pass the Hash \ Pass the Ticket gibt es ganze Blogserien und Whitepaper (http://adsecurity.org/ und Microsoft Whitepaper), weshalb wir uns auf eine kurze Zusammenfassung beschränken und weiterführende Themen verlinken.
Das Problem:
Aufgrund der Art und Weise, wie Windows und Active Directory funktionieren, gibt es eine Reihe von Möglichkeiten für Angreifer, Passwörter oder deren Hashes auszulesen und weiterzuverwenden. Alles, was dazu nötig ist, sind Adminrechte auf einer Workstation und frei zugängliche Tools wie z.B. Mimikatz (Github und BlueHat Vortrag (English)).
Adminrechte können z.B. über einen Phishing Angriff oder einen Social Engineering Angriff erbeutet werden. Allein im Jahr 2016 wurden laut der Studie „Wombat Security State of the Phish 2017″ 76% aller Organisationen Opfer von Phishing Angriffen. Gerade bei größeren Organisationen ist die Wahrscheinlichkeit groß, dass früher oder später ein Angreifer Erfolg hat.
Im nächsten Schritt versucht der Angreifer sich im Netzwerk auszubreiten. Früher mussten sich Angreifer zeitaufwändig mittels Trial und Error durch das Netzwerk bewegen, um irgendwann privilegierte Konten zu erbeuten. Heute gibt es Tools wie Bloodhound (Github und – DEF CON 24 Vortrag (Englisch)), die innerhalb von wenigen Minuten den Weg vom erbeuteten Rechner zum Domain Admin Konto (oder jedem beliebigen anderen) aufzeigen.
Ich empfehle jedem, die verlinkten Vorträge anzuschauen. Es wird Augen öffnen!
Die (ESAE) Lösung:
Wie oben schon gesagt ist ESAE keine einzelne Technik, kein Tool oder Service, der all diese Probleme löst, sondern eine Reihe von Techniken, Tools und Arbeitsweisen, die es einem Angreifer erschweren, hochprivilegierte Konten zu erbeuten und damit Schaden anzurichten.
Kern der Lösung ist es, die IT Services und Systeme anhand des Schutzbedarfs in verschiedene Klassen bzw. englisch Tiers zu unterteilen und die Adminkonten für die Tiers mit hohem Schutzbedarf in einen eigenen Administrationsforest auszulagern.

Wenn man sich die Microsoft Dokumentation betrachtet, werden die Systeme wie folgt in die Tiers einsortiert:
Tier 0: Enterprise Identity Systeme, wie Active Directory, PAM Systeme, ADFS.
Tier 1: Enterprise Anwendungen, wie Email, Kollaboration und sonstige Line of Business Applications.
Tier 2: Workstations
Diese Einteilung muss natürlich mit einer Prise Salz genossen werden. Jede Firma hat das ein oder andere höchst schützenwerte System, welches nicht in obige Definition für Tier 0 fällt. Diese Systeme können und sollten natürlich genauso geschützt werden.
Per se haben die Admin-Konten jedoch keine stehenden Administrationsrechte. Diese müssen über eine Just in Time Privilege Access Management (PAM) Lösung für einen definierten Zeitraum angefordert werden. Weiterhin kann die Umgebung nur mit gehärteten Privilege Access Workstations (PAWs) administriert werden.
Da die Einleitung doch etwas länger als erwartet geworden ist, machen wir hier einen Cut und stellen das konkrete Kundenszenario und die gewählte Architektur im nächsten Blogartikel vor.
Bildquelle: freepik.com
LATEST POSTS
„Kunden sehen derzeit, wie gut remote-Arbeit in der Beratung funktionieren kann”
Für viele Beratungen ist die Corona-Krise eine besondere Herausforderung. Während man normalerweise die Projekte für gewöhnlich beim Kunden vor Ort stemmte, hat sich nun der...
20 Oktober, 2020(E) SAE Deep Dive Serie Teil 1: Hyper-V Host Guardian Service (HGS) und Shielded VMs in einer (E)SAE-Umgebung
Nach dem Erfolg der ersten ESAE Serie haben wir beschlossen, eine Deep-Dive-Serie zu starten, in der wir auf verschiedene Maßnahmen etwas detaillierter eingehen....
16 Januar, 2020(E) SAE DEEP DIVE SERIE TEIL 2 – Abgesicherte VMs in einer ESAE Umgebung mit VMWare
In unserem Januar Blog, haben wir eine SAE-Deep-Dive Serie gestartet und erklärt, wie man Hyper-V in einem (E)SAE Szenario als sicheren Hypervisor verwenden kann. Da längst nicht alle unsere Kunden Hyper-V...
15 Juni, 2020