Admin Tier Level – Part I
Stellt euch vor, ihr seid Zoodirektor und eure wichtigsten Attraktionen sind Löwen, Stiere und Ameisen. Für diese nur ein gemeinsames Gehege zur Verfügung zu stellen, wäre nicht clever. Im Gegenteil, jedes Tier benötigt einen individuell gesicherten Bereich. Sie benötigen unterschiedliche Schutzlevel, den Schutz voreinander und der Besucher. Auch macht es Sinn, sie von unterschiedlichen Pflegern mit entsprechender Erfahrung betreuen zu lassen. Und diese Pfleger benötigen unterschiedliche Hilfsmittel zur Pflege der Tiere.
Seid ihr verantwortlich für die Sicherheit eurer Windows Infrastruktur? Dann verhält es sich vergleichbar. Es ist zwingend notwendig, Eure Systeme in entsprechenden Tier Leveln zu gruppieren. Je nach individuellen Voraussetzungen sollte eine Unterteilung in mindestes drei Admin Tier Level erfolgen:
- Tier 0 – die Löwen – Domänencontroller, IAM-Systeme, Zertifikatsserver, die Admins dafür, ihre PAWs
- Tier 1 – die Stiere – Anwendungsserver, Fileserver, Mailserver etc., die Admins dafür und ihre PAWs
- Tier 2 – die Ameisen – Workstations, Laptops, Tablets, Mobil Phones, die Admins dafür und ihre PAWs
Das Ziel: Die Administration der unterschiedlichen Infrastrukturbereiche zu trennen, um es Angreifern zu erschweren, an privilegierte Domänenkonten zu gelangen.
Aus meiner Sicht noch immer eins der wichtigsten Themen bei der Absicherung einer Windows Infrastruktur in einer OnPrem-Umgebung.