Privileged Access Workstation (PAW): Sichere Admin-Arbeitsplätze für privilegierte Zugriffe
Privileged Access Workstations (PAWs) sind dedizierte, gehärtete Arbeitsplätze ausschließlich für administrative Tätigkeiten. Microsoft-Empfehlung für den Schutz privilegierter Identitäten in Active Directory und Azure. PAWs trennen Admin-Aktivitäten vom Alltags-Internet-Browsen, E-Mail und anderen Risikoquellen. Dieser Artikel erklärt PAW-Deployment-Modelle (Physisch, Virtuell, Cloud), Härtungs-Konfiguration, Integration in Tiered-Administration-Modell und alternatives LAPS-gestütztes Clean-Source-Prinzip.
Inhaltsverzeichnis (5 Abschnitte)
Administratoren nutzen dieselbe Workstation für E-Mail, Browsen und die Verwaltung von Domain-Controllern. Diese Praxis ist das häufigste Einfallstor für privilegierte Angriffe: Ein Phishing-Link öffnet ein Dokument, das Macros ausführt, die im Kontext des angemeldeten Administrators laufen - der nebenbei Domain-Admin ist. PAWs lösen dieses Problem durch physische oder logische Trennung.
Clean-Source-Prinzip
Microsoft Clean Source Prinzip:
"Die Sicherheit eines Systems kann nicht größer sein als
die Sicherheit der Systeme die es verwalten"
Konsequenz:
Domain-Controller-Sicherheit ≤ Sicherheit der Admin-Workstation
Admin-Workstation-Sicherheit ≤ Sicherheit des Admin-Laptops
Admin-Laptop-Sicherheit ≤ Sicherheit der Netzwerksegmente die Zugriff haben
Problem des normalen Admin-Laptops:
→ Internet-Zugang mit Risiko: Phishing, Drive-by-Downloads
→ E-Mail-Client: Malware-Vektoren
→ Browser mit Plug-ins: Angriffsfläche
→ USB-Zugriff: BadUSB, infizierte Geräte
→ Andere Software: Office, Teams, Zoom (alle angreifbar)
Angriffspfad ohne PAW:
1. Angreifer: Phishing-E-Mail an Admin (admin@firma.de)
2. Admin öffnet Anhang auf normalem Laptop
3. Malware lädt im Admin-Kontext
4. Admin meldet sich gleichzeitig am DC an (Remote)
5. Malware nutzt DC-Verbindung für Pass-the-Hash
6. Domain kompromittiert!
PAW unterbricht diesen Pfad:
→ PAW hat keinen E-Mail-Client
→ PAW hat keinen Internet-Browser (oder stark eingeschränkt)
→ PAW ist nur für Admin-Tools konfiguriert
→ Selbst wenn normaler Laptop kompromittiert: PAW trennt den ZugriffPAW-Deployment-Modelle
Modell 1: Physisch dediziertes Gerät (klassisch):
Hardware:
→ Separater Laptop/Desktop ausschließlich für Admin-Tätigkeiten
→ Physisch getrennt vom normalen Arbeits-PC
→ Empfohlen: keine Netzwerk-Adapter für WLAN (nur Kabel!)
→ TPM 2.0 + Secure Boot + BitLocker (volle Verschlüsselung)
Verwendung:
→ Admin-Laptop: AUSSCHLIESSLICH für DC/Server-Administration
→ Normaler Laptop: E-Mail, Teams, Browser, Office
→ Nie: Admin-Tools auf normalem Laptop
→ Nie: Privates auf Admin-Laptop
Vorteile:
✓ Höchste Sicherheit (völlige Trennung)
✓ Einfach zu verstehen und durchzusetzen
Nachteile:
✗ Zwei Geräte (Kosten, Komplexität für Admins)
✗ Bei Fernarbeit: schwer mitzunehmen
Modell 2: VM-basierte PAW (praktischer für Fernarbeit):
Setup:
→ Host-System: Normaler Windows-Laptop (E-Mail, Internet)
→ PAW: Hyper-V/VMware-VM mit strikten Isolation-Regeln
Hyper-V-Konfiguration für PAW-VM:
□ Enhanced Session Mode deaktivieren (verhindert Clipboard-Sharing!)
□ Shared Folder: KEINE
□ Netzwerk: separates virtuelles Netz (nur Admin-Netz-Zugang)
□ Internet-Zugang: BLOCKIERT (über Firewall-Rule im vSwitch)
□ USB-Passthrough: DEAKTIVIERT
Einschränkungen:
✗ VM-Escape-Schwachstellen existieren (theoretisch)
✗ Host-Kompromittierung = PAW-Kompromittierung möglich
✗ Clipboard/Drag-and-Drop muss explizit deaktiviert sein
Modell 3: Cloud-basierte PAW (Azure Virtual Desktop/Windows 365):
Azure Virtual Desktop als PAW:
→ Admin verbindet sich per AVD-Client
→ AVD-Session läuft in Azure (nicht auf lokalem Gerät!)
→ Lokales Gerät: nur AVD-Client erlaubt für Admin-Verbindung
Vorteile:
✓ Gerätunabhängig (auch vom privaten Laptop aus)
✓ Azure-Conditional-Access kann PAW-Session schützen
✓ Zentrales Management + Logging
Nachteile:
✗ Internet-Abhängigkeit
✗ Azure-Kompromittierung = PAW-KompromittierungPAW-Härtungskonfiguration
Windows-Härtung für PAW:
Grundkonfiguration via GPO:
1. Software-Restriktion (AppLocker/WDAC):
# Nur erlaubte Programme:
Erlaubt:
→ Windows-System-Programme (C:\Windows\*)
→ Admin-Tools (RSAT, PowerShell, MMC)
→ AV/EDR-Agent
Blockiert: ALLES andere!
→ Kein Browser, kein Office, kein Teams, kein Notepad++
2. Netzwerk-Firewall-Regeln:
# Outbound:
ALLOW → Admin-Netzwerke (192.168.100.0/24)
ALLOW → Domain-Controller-IPs
ALLOW → DNS (Corporate)
ALLOW → Windows-Update
DENY ALL → Internet (kein HTTP/HTTPS zu externen IPs!)
DENY ALL → User-Netzwerke (VLANs der normalen Mitarbeiter)
3. Credential Guard aktivieren:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags = 1
# → Virtualisierungs-basierter Schutz für LSA-Credentials
# → Pass-the-Hash aus Credential-Dump extrem erschwert
4. Attack Surface Reduction (ASR) Rules:
# Über Intune oder GPO:
Block credential stealing from LSASS: ENABLE
Block process injections: ENABLE
Block untrusted executables from USB: ENABLE
Block Office apps from creating child processes: ENABLE
5. Windows Defender Application Guard (WDAG):
# Wenn Browser MUSS: nur in WDAG-Sandbox
# WDAG: isolierter Hyper-V-Container für Browser-Sessions
# Malware im Browser-Container kann nicht auf Host-Ressourcen zugreifen
6. USB-Zugriff deaktivieren:
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start = 4 (disabled)
# Über GPO: Computer Config → Admin Templates → System → Removable Storage
# "All Removable Storage: Deny all access"
7. SMB-Signing erzwingen:
# Verhindert NTLM-Relay von PAW aus:
GPO: Network security: LAN Manager authentication level
→ "Send NTLMv2 response only. Refuse LM & NTLM"
Empfohlene Admin-Tools auf PAW:
✓ Remote Server Administration Tools (RSAT)
✓ Active Directory Users and Computers
✓ Group Policy Management Console
✓ Microsoft Management Console (MMC)
✓ PowerShell (mit Script-Signing-Enforcement)
✓ Azure/Entra ID Admin Center (via WDAG-Browser)
✓ PAM-Tool-Client (CyberArk, BeyondTrust)Integration in Tiered-Administration-Modell
Active Directory Tier-Modell + PAWs:
Tier 0 - Control Plane (Domain-Controllers, PKI):
Admins: 2-5 Personen maximum
PAW-Typ: Physisch dediziertes Gerät
Erlaubt auf diesem PAW:
→ DC-Administration (Active Directory)
→ PKI-Administration
→ NICHT: Tier 1/2-Administration!
Privilegierte Accounts: DA, EA (Enterprise Admin)
→ Nur auf Tier-0-PAW einloggen!
→ Niemals auf normalen Workstations!
Tier 1 - Server-Ebene:
Admins: IT-Team
PAW-Typ: VM oder physisch (je nach Risikoeinstufung)
Erlaubt auf diesem PAW:
→ Windows-Server-Administration
→ VMware/Hyper-V-Administration
→ Database-Server, Application-Server
Privilegierte Accounts: Server-Admins
→ Dürfen NICHT Domain-Controller administrieren!
Tier 2 - Workstations/Endgeräte:
Admins: Helpdesk, Desktop-Support
PAW-Typ: Strikte normale Workstation mit eingeschränkten Rechten
Erlaubt:
→ Endgeräte-Management (Intune, SCCM)
→ LAPS-Verwaltung
KEINE Tier-2-Admins dürfen Server oder DCs anfassen!
Durchsetzung mit Restricted Access Management (RAMs):
GPO: Deny log on locally (Tier-0-DCs):
→ Group: Tier-1-Admins
→ Group: Tier-2-Admins
→ Verhindert Tier-1/2-Admins von DC-Login!
Authentication Policy Silos (Windows 2012R2+):
→ Tier-0-Accounts: dürfen NUR auf Tier-0-Computern authentifizieren
→ Wenn Tier-0-Account auf normalem PC eingeloggt: VERWEIGERT!
LAPS (Local Administrator Password Solution):
□ Alle Workstations bekommen eindeutige lokale Admin-Passwörter
□ Rotiert automatisch (alle 30 Tage)
□ Gespeichert in AD (Tier-2-Admins können per LAPS lesen)
□ Verhindert Pass-the-Hash für lokale Accounts lateral!Monitoring von PAW-Aktivitäten
PAW-spezifische SIEM-Alerting:
Kritische Events auf PAW-Computern:
Event 4624 (Logon): Logon von nicht-Admin-Accounts auf PAW → Alert!
Event 4648 (Explicit Credentials): Credentials-Wechsel auf PAW
Event 7045 (New Service): Neuer Service auf PAW (verdächtig!)
Event 4698 (Scheduled Task): Neuer Task auf PAW → Alert!
Anomalie-Erkennung:
→ Admin-Account der sich NICHT von bekanntem PAW einloggt → Alert!
→ PAW verbindet sich mit Internet-IP → Alert!
→ Ungeplanter Prozess auf PAW → Alert!
KQL in Microsoft Sentinel:
// Admin-Login nicht von PAW:
SecurityEvent
| where EventID == 4624
| where Account contains "admin" or Account contains "svc"
| where Computer !in (known_paw_hostnames)
| where LogonType in (3, 10) // Network + RemoteInteractive
| project TimeGenerated, Account, Computer, IpAddress
// PAW verbindet sich mit Internet:
DeviceNetworkEvents
| where DeviceName in (paw_devices)
| where RemoteIPType == "Public"
| where RemotePort in (80, 443, 8080)
| project Timestamp, DeviceName, RemoteIP, RemotePort, InitiatingProcessFileNameFragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.
10 Publikationen
- Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
- Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
- IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
- Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
- Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
- Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
- Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
- IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
- Sicherheitsforum Online-Banking — Live Hacking (2021)
- Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
