Privileged Access Management Glossar
Privileged Access Workstation (PAW) - Sicherer Admin-Arbeitsplatz
Privileged Access Workstation (PAW) ist ein dedizierter, gehärteter Rechner ausschließlich für administrative Tätigkeiten - kein E-Mail, kein Browsen, kein Office. PAW-Konzept nach Microsoft Tiered-Administration-Model: Tier-0 (Domain Controller), Tier-1 (Server), Tier-2 (Workstations). Technisch: separates VLAN, eigenes AD-Tier, Credential Guard, AppLocker Whitelist, USB-Sperre, dediziertes VPN. Verhindert Admin-Credentials-Diebstahl durch Phishing oder Malware auf normalen Arbeitsrechnern.
Privileged Access Workstations (PAWs) sind dedizierte, hardened Rechner für administrative Tätigkeiten. Das Kernprinzip: Admin-Credentials dürfen niemals auf einem normalen Arbeitsrechner verwendet werden, der auch E-Mail und Browser nutzt.
Das Problem mit regulären Admin-Rechnern
Warum normales Admin-Rechner gefährlich ist:
Typischer Angriffspfad ohne PAW:
1. Domain-Admin nutzt normalen Laptop für E-Mail + Admintätigkeiten
2. Phishing-Mail → Malware → Keylogger
3. Admin loggt sich in Domain Controller ein: Credentials gestohlen!
4. Angreifer hat Domain-Admin-Rechte
→ Dieser Angriff ist TRIVIAL und passiert täglich!
Microsoft-Studie:
→ 90% aller APT-Kompromittierungen beginnen mit gestohlenen Admin-Credentials
→ Quelle: Microsoft Detection and Response Team (DART)
Mit PAW:
1. Domain-Admin nutzt PAW ausschließlich für Admin
2. PAW: kein E-Mail, kein Browser, kein Office, kein USB
3. Phishing-Mail: kommt gar nicht an auf PAW (andere Maschine!)
4. Selbst bei Kompromittierung der normalen Workstation: Admin-Credentials nicht dort!Microsoft Tier-Modell und Clean Source Principle
Tiered Administration Model:
Tier 0: Domain/Enterprise Admin-Ebene
Systeme: Domain Controller, AD-Admin-Tools, PKI, ADFS
PAW: Physischer dedizierter Rechner
Admin-Accounts: nur auf Tier-0 verwendet
Kommunikation: nur zu anderen Tier-0-Systemen
↕ (keine direkte Verbindung!)
Tier 1: Server-Admin-Ebene
Systeme: Applikations-Server, DB-Server, File-Server
PAW: Physisch oder VM (streng isoliert)
Admin-Accounts: nur auf Tier-1 verwendet
Darf nicht: Tier-0-Systeme administrieren
↕
Tier 2: Workstation/User-Admin-Ebene
Systeme: Workstations, Laptops, Drucker
Admin: normale IT-Helpdesk-Arbeit
Admin-Accounts: nur Tier-2
Clean Source Principle:
→ Admin-Workstation muss IMMER vertrauenswürdiger sein als das Ziel!
→ Domain Controller (höchste Privilegien) → braucht reinste Workstation
→ Workstation (niedrigste Privilegien) → normales Admin-Laptop OK
Tier-Verletzungen (typische Fehler):
× Domain-Admin loggt sich auf normalem PC ein
× Tier-0-Account wird für File-Server-Admin genutzt
× Tier-1-Admin hat RDP-Zugang zum DC
→ ALLE Tier-Verletzungen = potenzielle Golden-Ticket-Vorbereitung!PAW-Technische Implementierung
PAW Hardware und Software-Konfiguration:
Hardware (Minimum):
→ Dedizierter Laptop/Desktop (kein Shared Device!)
→ TPM 2.0 (für BitLocker + Credential Guard)
→ Secure Boot aktiviert
→ RAM: 16 GB (für VM-basiertes PAW)
→ Disk: NVMe SSD, BitLocker verschlüsselt
Netzwerk-Konfiguration:
→ Eigenes VLAN: "PAW-VLAN" (z.B. 10.0.100.0/24)
→ Firewall-Regeln:
PAW → DC (443, 3389, LDAP): erlaubt
PAW → Admin-Server (3389, WinRM): erlaubt
PAW → Internet: GEBLOCKT!
PAW → normales Büronetz: GEBLOCKT!
→ DNS: eigener DNS-Server (kein Split-DNS mit normalem Netz!)
Eigenes AD-Tier:
# Separates OU für PAW-Computer:
OU=PAWDevices,OU=Tier0,DC=corp,DC=local
OU=PAWUsers,OU=Tier0,DC=corp,DC=local
# PAW-Spezifische GPO:
→ AppLocker: nur explizit erlaubte Apps (Whitelist!)
→ No-Internet-Browsing: IE/Edge/Chrome verboten via AppLocker
→ USB-Ports deaktiviert (außer für Admintools): Geräteinstallation via GPO
→ Windows Defender Credential Guard: AKTIVIERT
→ Windows Defender Device Guard (WDAC): AKTIVIERT
→ Audit: alle Anmeldungen und Admin-Aktionen
Credential Guard aktivieren:
# GPO: Computer Configuration → Administrative Templates →
# System → Device Guard:
"Turn on Virtualization Based Security": Enabled
Platform Security Level: Secure Boot and DMA Protection
Credential Guard Configuration: Enabled with UEFI lock
# Überprüfen:
msinfo32 → "Virtualization-based security Services Running"
# Sollte enthalten: "Credential Guard"
# Mit Credential Guard: Mimikatz kann KEINE Credentials mehr aus LSASS extrahieren!
AppLocker-Konfiguration für PAW:
# Default Deny + Whitelist:
# Erlaubt:
%SystemRoot%\* → Windows-Systemtools
%ProgramFiles%\* → Standard-Programme
C:\AdminTools\* → Eigene Admin-Scripts
# Explizit erlaubte Admin-Tools:
PowerShell.exe (signed Microsoft)
mmc.exe (Microsoft Management Console)
rsat\*.exe (Remote Server Admin Tools)
# Verboten (Standard-Block):
Browser-Executables (chrome.exe, firefox.exe, msedge.exe)
Office (winword.exe, excel.exe, outlook.exe)
Teamviewer, AnyDesk, etc.VM-basiertes PAW (Bastion VM)
PAW als virtuelle Maschine:
Konzept: "Jump VM" auf normalem Laptop, strikt isoliert
Host-Laptop (normal) PAW-VM (Hyper-V / VMware)
→ E-Mail, Office, Browser → Admin-Tools, RSAT
→ Verbunden: Firmennetz → Verbunden: PAW-VLAN
→ Keine Admin-Rechte → Nur Admin-Zugang
Vorteile VM-PAW:
→ Kein zweites Gerät nötig (Kostenvorteil)
→ Schnelles Snapshotten (vor Admin-Aktion: Snapshot!)
→ Einfaches Reimagen (kompromittiert → frischer Snapshot)
Nachteile VM-PAW:
→ Host-System muss vertrauenswürdig sein
→ Hypervisor-Escape theoretisch möglich (extrem selten)
→ Weniger isoliert als physisches Gerät
Hyper-V-Konfiguration:
# Isoliertes virtueltes Netz für PAW-VM:
New-VMSwitch -Name "PAW-VLAN" -SwitchType Internal
# VM-Konfiguration:
Set-VMNetworkAdapterVlan -VMName "PAW-VM" -Access -VlanId 100
# Keine Verbindung zum Host-Netz!
# Credential Guard auch in VM:
Set-VMSecurity -VMName "PAW-VM" -VirtualizationBasedSecurityOptOut $false
Microsoft Privileged Access Devices (neuere Bezeichnung):
→ Privileged Access Workstation (physisch)
→ Privileged Access Desktop (VM auf isoliertem Host)
→ Privileged Access Interface (Remote Desktop Gateway)
→ Secure Admin Workstation (SAW) bei sehr hohem BedarfPAW-Betrieb und Governance
PAW-Lifecycle-Management:
Provisionierung:
1. Neues Gerät: nur via Secure Supply Chain
(direkt vom Hersteller, kein Zwischenhändler)
2. OS-Installation: offline vom USB-Stick (nicht aus Netz!)
3. GPO: automatisch via AD-Gruppenmitgliedschaft
4. Bitlocker: Recovery-Key in AD (nicht auf normalem Server!)
5. Enrollment: MDM-Enroll (Intune: PAW-Device-Gruppe)
Regelmäßige Wartung:
→ Windows Updates: Maintenance-Fenster, vollständig getrennt von normalen Updates
→ Patches: monatlich, aus eigenem WSUS (nicht Internet!)
→ Reimagen: alle 6 Monate (Best Practice), oder nach jedem Verdacht
Notfall-Prozeduren:
→ PAW verloren/gestohlen: BitLocker-Schlüssel remote-wipe (Intune)
→ PAW kompromittiert-Verdacht: sofort isolieren, IR-Prozess starten
→ Keine PAW verfügbar: Break-Glass-Prozedur mit physischem Sicherheits-Token
Checkliste PAW-Deployment:
□ Eigenes AD-Tier (Tier-0-OU) erstellt
□ PAW-VLAN konfiguriert, Firewall-Regeln gesetzt
□ Credential Guard via GPO aktiviert
□ AppLocker Whitelist konfiguriert + getestet
□ Keine Browser/E-Mail/Office auf PAW
□ BitLocker aktiviert, Recovery-Key gesichert
□ USB-Zugriff auf Whitelist reduziert
□ Admin-Accounts NICHT auf normale Workstations verwendbar
□ Monitoring: alle PAW-Logins im SIEM
□ Schulung: alle Admins kennen das Tier-Modell und PAW-Regeln
