AD-Tiering

Tiering modellen er et sikkerhetskonsept fra Microsoft. Den deler Active Directory sikkerhet i tre nivåer:

Tier 0: Domenekontrollere og domeneadministratorer
Tier 1: Servere og serveradministratorer
Tier 2: Klienter og klientadministratorer

Vurderinger av de forskjellige Tier modellene

Tier modellen har vært igjennom tre større revisjoner:

• Legacy Tier modellen var først og omfatter kun Active Directory og benytter GPOer for sikring

• Enterprice Access modellen omfatter også nettverk, OT (operasjonell teknologi) og ikke minst sky

• Modern Tier modellen er den nyeste og omfatter kun Active Directory. Den benytter Authentication Policies og krever PAWs (Privileged Access Workstations)

Enterprice Access modellen er meget omfattende og veldig teoretisk og er mer en visjon enn et mål.

Modern Tier modellen er utrolig sikker og konkret, men teknisk komplisert å innføre og vil føre til omfattende endringer for hvordan administratorer utfører daglige oppgaver.

Dersom man ikke allerede har en Tier modell anbefaler vi derfor å starte med Legacy Tier modellen, da den er relativt enkel å innføre, påvirker administratorene så lite som mulig, og gir betydelig økt sikkerhet. Det vil også være enklere å innføre Modern Tier modellen senere, hvis man allerede har innført Legacy modellen, for Modern Tier modellen bygger videre på Legacy Tier model.

Sikkerhet i Tier modellen

Poenget med Tier modellen er å hindre en angriper å bli Domain Admin, dvs få tilgang til Tier 0. Den normale veien inn for en hacker er å først få kontroll på en normal bruker og PCen til brukeren. Derfra vil angriper forsøke å få tilgang til en administrator konto. Dersom f.eks en Domain Admin en gang tidligere har logget inn på PCen angriper har fått kontrol på, så har hackeren øyeblikkelig fått Domain Admin rettighet og har full kontroll.

Dette hindres ved å opprette egne Administrator kontoer som kun har tilgang til PCer og brukere. Disse administratorkontoene hører til Tier 2. Om en hacker får kontroll på en Tier 2 konto, så gir det altså hverken tilgang til servere eller servicekontoer på servere, og dermed kommer ikke hackeren videre fra PCene og kontoene i Tier 2.

På akkurat samme måte er serverne sikret med egne administratorkontoer for servere, som altså hører til Tier 1. Hvis angriper skulle få kontroll på en server, og dermed få kontroll på en Tier 1 administratorkonto, så vil ikke Tier 1 gi noen tilgang til Tier 0. Angriperen kommer altså ikke direkte videre fra servertilgang i Tier 1 til Domain Admins i Tier 0, som er målet til angriperen.

Tier modellen består altså av egne administratorkontoer for hvert Tier nivå, som bare har rettigheter på sitt Tier nivå.
GPOer hindrer Tier 0 administratorerer å logge inn på Tier 1 og Tier 2, og de hindrer Tier 1 administratorer å logge inn på Tier 2.
Rettigheter hindrer Tier 1 å logge inn på Tier 0, og de hindrer Tier 2 å logge inn på Tier 1 og Tier 0.

Teknisk innføring av Legacy Tier modellen

Nedenfor følger en standard måte å opprette Tier modellen på. Det er selvfølgelig mulig å endre alt av navn og plasseringer etter behov, men pass på at endringer ikke fører til sikkerhetsproblemer senere.

NB: Vi anbefaler å først innføre Tier 0, og fullføre implementeringen av Tier 0 fullstendig før man starter på Tier 1!

Tier 0 er den desidert enkleste å innføre, og man får mye verdifull erfaring fra denne innføringen som man kan bruke videre til Tier 1 og Tier 2. Beskrivelsene nedenfor omfatter for oversiktens skyld en komplett Tier modell.

Opprett følgende nye OUer i Root på domenet

Tier Model

Opprett følgende Global Security grupper i OUen "Tier Model":

Tier0Admins
Tier1Admins
Tier2Admins

Lag følgende nye GPOer. Disse skal sikre at ingen logger inn på feil Tier nivå:

Tier1GPO:

Link Tier1GPO til alle OUer med servere. Security Filtering=Authenticated Users

Tier2GPO:

Link Tier2GPO til alle OUer med klienter. Security Filtering=Authenticated Users

Verifiser at kun Domain Admins har Edit rettighet på GPOen, altså at kun kontoer som tilsvarer Domain Admins har rettighet (Domain Admins, Enterprise Admins, System)

Lag nye admin kontoer for administratorer for hver Tier. Vi anbefaler å bruke en navnestandard som tydelig viser Tier nivået, som f.eks "T0.username"

Legg de nye admin kontoene inn i riktig Tier gruppe. Vi anbefaler å starte med Tier 0 og med kun noen få personer, slik at man kan justere modellen som ønsket uten å måtte endre mange objekter.

NB: Gruppemedlemskap blir oppdatert ved pålogging, men husk at det kan ta opptil 2 timer før GPOene blir aktive på maskiner.

Når alt over er på plass, så er selve Tier modellen implementert. Dessverre vil det vanligvis nå være veldig mange veier rundt hele modellen som en hacker kan benytte.
Det må derfor sikres at KUN Tier 0 kontoer har tilgang til Tier 0 objekter.

Vi anbefaler å benytte Ping Castle, Forest Druid eller Bloodhound for å finne alle steder Tier modellen må sikres.

Ping Castle er desidert enklest å benytte for å sikre Tier 0, og Ping Castle vil allerede være installert hvis dere har kjørt Kommunetest. NB: Ping Castle støtter kun Tier 0.
Forest Druid er best for å sikre Tier 1 og Tier 2, da det støtter alle tre Tier nivåene.

Det beste verktøyet er Bloodhound, men den er komplisert både å installere og å benytte.

Eksempel 1 på typisk utfordring:
På root i AD har servicedesk (Tier2) blitt gitt tilgangen "Reset Password" i hele domenet, slik at de kan gi alle nytt passord ved behov. Det betyr imidlertid at de også kan resette passordet til Tier 0 (Domain Admins). Dermed trenger en hacker kun få kontol på en Tier 2 konto og etter en enkel passord reset har han Tier 0. Så alle slike snarveier må ryddes opp i, og dette kan være et betydelig arbeid avhengig av hvor mange slike snarveier som har blitt opprettet rundtom.

Eksempel 2 på typisk utfordring:
Tier 1 Admins har tilgang til serveren som kjørerer AADConnect for å patche og drifte OS på den. AADConnect servicekonto har spesielle tilganger i domenet, inkludert tilgang til Domain Admins kontoer. Derfor må AADconnect serveren kun være tilgjengelig for Tier 0 kontoer. Man må derfor fjerne Tier 1 tilgangen til AADConnect serveren, slik at man kun kan logge inn på den med Tier 0. Akkurat samme må gjelder også ADCS (PKI/CA) serveren, da den deler ut sertifikat til domenekontrollerne, og dermed vil kunne ta kontroll på dem. For å sikre at riktige GPOer gjelder for CA og AADConnect serverne, og at ingen Tier 1 har tilgang til dem, så flyttes til til OUen "Tier Model\Servers"

Artikler

Microsoft Legacy Tier model: https://web.archive.org/web/20200805192622/https:/docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material

Microsoft Enterprice Access model: https://learn.microsoft.com/en-us/security/privileged-access-workstations/privileged-access-access-model

Modern Tier Model with Authentication Policies and PAW: https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/protecting-tier-0-the-modern-way/4052851

Internet artikkel: https://itm8.com/articles/fundamentals-ad-tiering

Ping Castle: https://www.pingcastle.com/
Forest Druid: https://www.semperis.com/forest-druid/
BloodHound: https://bloodhound.specterops.io/get-started/introduction