Whitepapers

In diesem Whitepaper untersucht Devolutions die besonderen Herausforderungen, die KMU bei der Absicherung privilegierter Zugriffe bewältigen müssen.

IT-Fachleute verbinden sich mit Remote-Systemen, um Verwaltungsaufgaben auszuführen, und benötigen häufig administrative Anmeldeinformationen. Zwar erlauben einige Anwendungen eine Delegation, sodass Aufgaben ohne privilegiertes Konto erledigt werden können, doch viele Vorgänge erfordern administrative Rechte. Delegation erhöht zudem die Verwaltungskosten, da Unternehmen ermitteln müssen, ob Anwendungen Delegation unterstützen, Mitarbeiterrollen identifizieren, die zu erledigenden Aufgaben und die für die Ausführung erforderlichen Rechte. Und dies ist ein fortlaufender Prozess, da sich Anwendungen, Systeme und Rollen ändern.

Daher ist es üblich, dass IT-Mitarbeitern administrative Anmeldeinformationen für kritische Geschäftssysteme erteilt werden, um den Zugriff zu beschleunigen. Im schlimmsten Fall könnte dies der Zugriff auf ein gemeinsames Administratorkonto sein. Dies geschieht häufig in Windows Server Active Directory, wo das Domänenadministrator-Passwort weit verbreitet bekannt ist. Wird das Konto jedoch missbraucht, gelangt es in falsche Hände oder wird anderweitig kompromittiert, kann dies zu einem Vorfall führen, von dem sich die Organisation nur schwer erholen kann. Bei Active Directory (AD) ist dies besonders riskant, da AD die Identitätsverwaltungssoftware ist, die den Zugriff auf andere Geschäftssysteme steuert.

Die Zuweisung benannter Benutzerkonten mit administrativen Berechtigungen an Mitarbeiter ist kaum besser, da Passwörter leicht kompromittiert werden können. Unsichere Verbindungen zu Remote-Systemen oder die Eingabe von Passwörtern auf mit Malware infizierten Geräten sind zwei häufige Methoden, mit denen Hacker Passwörter ermitteln – unter Einsatz automatisierter Techniken, die ihre virtuellen Netze mit minimalem Aufwand weit streuen. Folglich können Sie kompromittiert werden, auch wenn Sie nicht glauben, dass Ihr Unternehmen ein Ziel ist.

Administrative Anmeldeinformationen erhöhen das Kompromittierungsrisiko

Die Verbreitung von Admin-Konten in jeder Organisation bedeutet, dass Passwörter häufig in Datenbanken, Tabellenkalkulationen, Skripten und anderen Dateitypen gespeichert werden. Diese können jedoch ebenfalls leicht kompromittiert werden. Es ist wichtig, einen Passwort-Manager oder einen anderen sicheren Tresor zu verwenden, um sicherzustellen, dass Passwörter sicher gespeichert werden, bei Bedarf abgerufen werden können und nicht zwischen verschiedenen Administratorkonten geteilt werden. Ohne Passwort-Manager neigen Benutzer dazu, dasselbe Passwort über mehrere Dienste hinweg zu wiederholen, was den Schaden erhöht, den Angreifer bei Vorfällen anrichten können. Benutzer erstellen auch schwache Passwörter, da ohne Passwort-Manager lange und komplexe Passwörter schwer zu merken sind.

Windows Server bietet granulare Berechtigungen, mit denen Organisationen Benutzern Rechte zur Ausführung von Funktionen zuweisen können, ohne sie zu Administratoren oder anderen privilegierten Gruppen hinzuzufügen. Dies kann jedoch dazu führen, dass "administratorähnliche" Rechte zugewiesen werden, die bei mangelnder Kontrolle zu einem Vorfall führen können. Organisationen müssen außerdem ermitteln, welche Rechte für die Ausführung von Aufgaben erforderlich sind. Windows PowerShell und Linux können so konfiguriert werden, dass Benutzer auf bestimmte Befehle mit erhöhten Berechtigungen beschränkt werden. Dies erfordert jedoch die Verwendung der Befehlszeile oder moderner Verwaltungstools, von denen keines in KMU üblich ist.

Sichere Verwaltung des Remote-Zugriffs

Hier gibt es mehrere Probleme, die angegangen werden müssen. Wenn IT-Mitarbeiter oder Drittanbieter auf Remote-Systeme zugreifen, benötigen sie nicht nur die Verbindungsdetails – wie IP-Adresse, DNS-Name, Protokoll und andere Eigenschaften – sondern auch privilegierte Anmeldeinformationen zur Authentifizierung auf dem Remote-Gerät.

Passwörter und Multifaktor-Authentifizierung

Mit einem Passwort-Manager allein können Organisationen sicherstellen, dass starke Passwörter für sensible Admin-Konten verwendet werden. Benutzer müssen jedoch weiterhin Passwörter eingeben, um sich zu verbinden. Dies kann zu Passwort-Offenlegung führen, wenn Verbindungen unsicher sind oder Quellgeräte kompromittiert wurden. Passwörter sollten rotiert werden, um sicherzustellen, dass Benutzer nach den erforderlichen Änderungen keinen Zugriff mehr auf Remote-Systeme haben.

Zwei-Faktor-Authentifizierung (2FA) sollte für Administratorkonten aktiviert werden, um zusätzliche Sicherheit zu bieten. Statt nur ein Passwort zu kennen, müssen Benutzer eine zusätzliche Verifizierung über etwas, das sie besitzen, bereitstellen – z. B. eine Authentifizierungs-App auf ihrem Smartphone. Bei aktivierter 2FA reicht ein kompromittiertes Passwort nicht zum Anmelden aus.

Remote-Desktop und Legacy-Verwaltungstools

Verwaltungstools bieten Organisationen selten eine Möglichkeit, zu überwachen, welche Änderungen vorgenommen werden, was zu nicht autorisierten Konfigurationsänderungen führen kann, die sich nicht nachverfolgen lassen. Systeme sollten so gesichert und verwaltet werden, dass nur genehmigte Änderungen erlaubt sind und alle durchgeführten Aktionen protokolliert werden. Die meisten Systemausfälle sind das Ergebnis autorisierter Änderungen. Server mit strengen Änderungskontrollrichtlinien sind einfacher zu warten und zu unterstützen, da eine bekannte Konfiguration vorliegt, die leicht bewertet und bei Bedarf auf einen letzten bekannten Zustand zurückgesetzt werden kann.

Microsoft Remote Desktop (RDP) ist das häufigste Remote-Verwaltungstool in KMU, da es einfach einzurichten und zu konfigurieren ist. Es bietet Zugriff auf eine Desktop-Umgebung und Legacy-GUI-Verwaltungstools, die Systemadministratoren vertraut sind. Obwohl RDP praktisch ist, ist es bei falscher Konfiguration anfällig für Kompromittierung, insbesondere wenn es dem Internet ausgesetzt ist. Brute-Force- und Passwort-Spray-Angriffe können Hackern einen Einstiegspunkt in Ihr Netzwerk verschaffen. Man-in-the-Middle-Angriffe, bei denen Benutzer sich mit einem Imitat-Gerät statt dem echten Server verbinden, können zu Kompromittierung von Anmeldeinformationen und Daten führen, wenn RDP nicht ordnungsgemäß eingerichtet ist.

Privileged Access Management

Privileged Access Management (PAM)-Produkte lösen die oben skizzierten Probleme, indem sie administrative Anmeldeinformationen absichern und Benutzer gleichzeitig produktiv bleiben. PAM ermöglicht es Organisationen, sensible Anmeldeinformationen in einer zentralen Datenbank zu speichern und zu verwalten. Statt auf manuelle Prozesse oder noch schlimmer gemeinsame Administratorkonten zu setzen, bietet PAM einen sicheren Tresor und Workflow zur Verwaltung des Zugriffs auf privilegierte Anmeldeinformationen.

Benutzer fordern Zugriff auf Passwörter an, der genehmigt oder abgelehnt werden kann. Ähnlich wie Dokumentenverwaltungssysteme wie SharePoint das Ein- und Auschecken von Dokumenten ermöglichen, ermöglicht PAM das Ein- und Auschecken von Passwörtern, um zu verhindern, dass sie gleichzeitig von mehreren Benutzern verwendet werden. Es ist wichtig zu verstehen, wer ein Konto nutzt, wo, was damit gemacht wird und wann. PAM protokolliert alle diese Informationen, sodass bei einem Vorfall die Forensik einer Konfigurationsänderung durch einen Bericht leicht ermittelt werden kann. Idealerweise würden Änderungen mit modernen Befehlszeilen-Shells oder GUI-Tools wie Windows Admin Center durchgeführt, damit Änderungen protokolliert werden können. In der Praxis führen Administratoren Aufgaben jedoch meist mit Tools aus, die Änderungen nicht protokollieren. Eine gute PAM-Lösung kann mit Sitzungsaufzeichnung das "Was" ermitteln und genau erfassen, welche Aktionen durchgeführt wurden.

Devolutions Password Server

PAM-Lösungen sind in der Regel für Großunternehmen konzipiert, und die meisten Produkte sind für KMU zu komplex in Implementierung und Verwaltung. Das gilt, wenn der Preis eine Enterprise-PAM-Lösung nicht bereits von vornherein ausschließt. Die PAM-Lösung von Microsoft erfordert beispielsweise zwei zusätzliche Active Directory-Gesamtstrukturen und Microsoft Identity Manager (MIM). Das sind viele Komponenten zu verwalten und Produkte zu lizenzieren.

Devolutions Password Server (DPS) ist für KMU konzipiert. Er verfügt über einen sicheren lokalen Passwort-Tresor, der geteilt werden kann, sowie integrierte Privileged Session Management-Funktionen zur Absicherung administrativer Konten und des Zugriffs. DPS Account Brokering ermöglicht es Benutzern und IT-Mitarbeitern, Remote-Verbindungen zu Servern, Websites und Anwendungen zu starten, ohne jemals das Passwort des verwendeten Kontos kennen zu müssen. Dies macht Passwort-Rotation überflüssig, da Passwörter Benutzern nie offengelegt werden. Dennoch bietet DPS Passwort-Rotation für diejenigen, die bei jeder Zugriffsanfrage ein anderes Passwort ausgeben möchten.

DPS wird über eine Weboberfläche verwaltet, und der Zugriff kann über rollenbasierte Zugriffskontrolle gesteuert werden. Benutzer verbinden sich mit Remote-Servern und Anwendungen über Devolutions Launcher. Ein schlanker Desktop-Client für Windows, macOS, Linux, Android und iOS bietet Launcher schnellen und sicheren Zugriff auf Remote-Dienste, während DPS Account Brokering Anmeldeinformationen ohne Benutzerinteraktion injiziert. Brute-Force- und Passwort-Spray-Angriffe können Hackern einen Einstiegspunkt in Ihr Netzwerk verschaffen. Man-in-the-Middle-Angriffe, bei denen Benutzer sich mit einem Imitat-Gerät statt dem echten Server verbinden, können zu Kompromittierung von Anmeldeinformationen und Daten führen, wenn RDP nicht ordnungsgemäß eingerichtet ist.

Installation von Devolutions Password Server

DPS wird mit der Devolutions Password Server Console installiert und eingerichtet. Es läuft auf allen derzeit unterstützten Versionen von Windows und Windows Server. DPS erfordert Internet Information Services (IIS) 7.0 oder höher und Microsoft SQL Server 2008 oder höher. KMU, die SQL Server nicht lizenzieren möchten, können die kostenlose Express-Edition verwenden.

Obwohl DPS für KMU konzipiert ist, unterstützt es mehrere Bereitstopologien für maximale Flexibilität. DPS und SQL Server können für kleine Bereitstellungen auf demselben Gerät installiert werden. Für hohe Verfügbarkeit kann DPS mit einem gespiegelten SQL Server Failover-Cluster verbunden werden. DPS kann auch für Load Balancing konfiguriert und in der Cloud eingerichtet werden.

Passwörter, Zwei-Faktor-Authentifizierung, Verschlüsselung und Service-Integration Verbindungen und Anmeldeinformationen werden in einem oder mehreren zentralen Tresoren gespeichert, die durch AES-256-Bit-Verschlüsselung geschützt sind. Anmeldeinformationen können von autorisierten DPS-Bedienern ein- und ausgecheckt werden, sodass Benutzer nur bei Genehmigung Zugriff auf sensible Anmeldeinformationen erhalten. Schneller Zugriff auf Websites wird durch die Devolutions Web Login Browser-Erweiterung bereitgestellt, die auch zur Generierung starker Passwörter verwendet werden kann. Organisationen mit Devolutions Remote Desktop Manager können DPS mit Drittanbieter-Passwort-Managern wie 1Password und LastPass integrieren.

DPS unterstützt den Import und die Synchronisierung von Benutzern und Gruppen aus Active Directory. Und wenn AD mit Azure AD synchronisiert ist, können auch Office 365-Benutzer in DPS importiert werden. Integrierte Zwei-Faktor-Authentifizierung bietet eine zusätzliche Schutzschicht, und die umfassende und detaillierte Berichterstattung ermöglicht es Organisationen, Wer, Was, Wann und Wo zu verfolgen. Darüber hinaus können Benachrichtigungen eingerichtet werden, die per E-Mail informieren, wenn ein privilegiertes Konto verwendet oder geändert wird.

Remote Desktop Manager

Devolutions Remote Desktop Manager (RDM) ist ein umfassendes Toolset für IT-Mitarbeiter zur Verwaltung und Freigabe von Verbindungen zu Remote-Systemen. RDM speichert Passwörter sicher und führt Account Brokering durch, sodass IT-Mitarbeiter sich mit Remote-Geräten verbinden können, ohne privilegierte Anmeldeinformationen preiszugeben. Es integriert sich mit DPS und Wayk für eine vollständige Remote-Zugriffslösung für IT-Fachleute.

RDM hilft IT-Fachleuten bei der sicheren und effizienten Verbindung mit Remote-Systemen und kann Verbindungen und Anmeldeinformationen für Microsoft Remote Desktop (RDP), VNC, Hyper-V, Telnet, Citrix, VMWare, Web, VPNs, SSH, FTP und viele andere gängige Protokolle speichern, die direkt ins Produkt integriert oder über Add-ons verfügbar sind. Kontenanmeldeinformationen können direkt in der Benutzersitzung, einem privaten Passwort-Tresor oder einer gemeinsamen Datenbank gespeichert werden. RDM-Funktionen umfassen mobilen Zugriff über die RDM Android- oder iOS-App, sicheren Offline-Zugriff und integrierte Befehlszeilen-Konsolen.

Obwohl benannte Benutzerkonten allgemein als Best Practice gelten, da sie Organisationen helfen zu erfassen, wer auf Systeme zugreift, kann RDM die Verwaltung durch gemeinsame Nutzung administrativer Passwörter vereinfachen. Statt z. B. benannte Konten für jeden Benutzer einzurichten, ermöglicht RDM die Verwendung eines Admin-Kontos für alle Benutzer. RDM erfasst, wer mit einem gemeinsamen Administratorkonto auf ein System zugreift, und meldet weitere wichtige Informationen wie Zeitpunkt und Ort der Verbindungen, die bei einer Prüfung erforderlich sein können.

RDM speichert Verbindungen in privaten oder gemeinsamen Datenquellen wie Devolutions Password Server, SQL Server, DropBox und vielen anderen. Verbindungen können über Internet, Intranet oder eine private Cloud geteilt werden. Die RDM Enterprise-Edition ermöglicht Benutzern die sichere Freigabe von Verbindungen aus einem zentralen Repository, und Organisationen können den Zugriff auf privilegierte Konten mit rollenbasierter Zugriffskontrolle (RBAC) steuern.

Nächste Schritte

Devolutions Password Server ist eine PAM-Lösung auf Unternehmensniveau, die auf die Bedürfnisse kleiner und mittlerer Unternehmen zugeschnitten ist. Sicherheitsvorfälle können für KMU besonders kostspielig sein, da sie die Auswirkungen eines schweren Angriffs nicht immer absorbieren können. Die Verwaltung des Zugriffs auf privilegierte Konten ist entscheidend für die Integrität und Sicherheit der Systeme. Für eine vollständige Lösung integriert sich DPS mit anderen Devolutions-Tools, die IT bei der Verwaltung von Remote-Verbindungen unterstützen.