Admin Tiers

Das Admin-Tier-Modell trennt administrative Aufgaben nach Schutzbedarf. Ziel ist, dass hochprivilegierte Zugangsdaten nicht auf weniger vertrauenswürdigen Systemen verwendet werden.

Warum Admin Tiers?

Ein häufiger Angriff in Windows-Umgebungen ist das Auslesen oder Weiterverwenden von Anmeldeinformationen. Wenn ein Domain Admin sich auf einem normalen Client anmeldet, können dessen Credentials dort gefährdet sein.

Admin Tiers reduzieren dieses Risiko durch klare Trennung:

Grundprinzip

Ein Admin-Konto darf nur Systeme seines Tiers oder eines niedrigeren Risikos verwalten. Besonders wichtig ist:

• Tier-0-Konten niemals auf Tier-1- oder Tier-2-Systemen anmelden.
• Tier-1-Konten nicht auf normalen Clients verwenden.
• Für jedes Tier eigene Admin-Konten nutzen.
• Administration idealerweise über dedizierte Admin Hosts durchführen.

Typische Gruppen und Konten

Eine einfache Struktur:

OU Administration
├── Administrative Gruppen
│   ├── Tier0Admins
│   ├── Tier1Admins
│   └── Tier2Admins
└── Administrative Konten
    ├── admin-t0-max
    ├── admin-t1-max
    └── admin-t2-max

Durchsetzung mit Gruppenrichtlinien

Das Tier-Modell ist nur hilfreich, wenn es technisch durchgesetzt wird.

Mögliche Maßnahmen:

• Anmeldung bestimmter Admin-Gruppen auf falschen Systemen verbieten
• lokale Anmeldung einschränken
• RDP-Anmeldung einschränken
• Zugriff über Netzwerk begrenzen
• administrative Shares kontrollieren
• Firewall-Regeln zwischen Tiers definieren

Admin Host

Ein Admin Host ist ein besonders abgesicherter Rechner für administrative Aufgaben. Er wird nicht für E-Mail, Websurfen oder normale Büroarbeit genutzt.

Eigenschaften:

• stark gehärtet
• nur notwendige Administrationswerkzeuge
• keine normale Benutzerarbeit
• Zugriff nur für berechtigte Admins
• Monitoring und Protokollierung