Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Privileged Access Workstation (PAW): Sichere Admin-Arbeitsplätze für privilegierte Zugriffe

Privileged Access Workstations (PAWs): Gehaertete Admin-Arbeitsplaetze fuer Active Directory und Azure. Deployment-Modelle, Haertung und Tiered Administration.

Inhaltsverzeichnis (5 Abschnitte)

Administratoren nutzen dieselbe Workstation für E-Mail, Browsen und die Verwaltung von Domain-Controllern. Diese Praxis ist das häufigste Einfallstor für privilegierte Angriffe: Ein Phishing-Link öffnet ein Dokument, das Macros ausführt, die im Kontext des angemeldeten Administrators laufen - der nebenbei Domain-Admin ist. PAWs lösen dieses Problem durch physische oder logische Trennung.

Clean-Source-Prinzip

Das Microsoft Clean-Source-Prinzip lautet: "Die Sicherheit eines Systems kann nicht größer sein als die Sicherheit der Systeme, die es verwalten." Die Konsequenz: Die Sicherheit des Domain Controllers ist maximal so hoch wie die Sicherheit der Admin-Workstation, und die Sicherheit der Admin-Workstation ist maximal so hoch wie die Sicherheit des Admin-Laptops.

Das Problem des normalen Admin-Laptops: Internet-Zugang mit Phishing- und Drive-by-Download-Risiko, E-Mail-Client als Malware-Vektor, Browser mit Plug-ins als Angriffsfläche, USB-Zugriff (BadUSB, infizierte Geräte) und weitere Software wie Office, Teams und Zoom - alle mit eigener Angriffsfläche.

Der typische Angriffspfad ohne PAW: Angreifer schickt Phishing-E-Mail an Admin, Admin öffnet Anhang auf normalem Laptop, Malware lädt im Admin-Kontext, Admin meldet sich gleichzeitig per Remote am DC an, Malware nutzt die DC-Verbindung für Pass-the-Hash, die Domain ist kompromittiert.

PAW unterbricht diesen Pfad: Auf der PAW gibt es keinen E-Mail-Client und keinen Internet-Browser (oder nur stark eingeschränkt). Sie ist ausschließlich für Admin-Tools konfiguriert. Selbst wenn der normale Laptop kompromittiert wird, trennt die PAW den privilegierten Zugriff.

PAW-Deployment-Modelle

Modell 1: Physisch dediziertes Gerät ist das klassische und sicherste Modell. Ein separater Laptop oder Desktop wird ausschließlich für Admin-Tätigkeiten genutzt, physisch getrennt vom normalen Arbeits-PC. Empfohlen ohne WLAN-Adapter (nur kabelgebundene Verbindung), mit TPM 2.0, Secure Boot und BitLocker. Verwendungsregel: Der Admin-Laptop ist ausschließlich für DC- und Server-Administration - niemals Admin-Tools auf dem normalen Laptop, niemals private Nutzung auf dem Admin-Laptop. Vorteile: höchste Sicherheit durch völlige Trennung, einfach zu verstehen und durchzusetzen. Nachteile: zwei Geräte bedeuten Kosten und Komplexität für Admins; bei Fernarbeit schwer mitzunehmen.

Modell 2: VM-basierte PAW ist praktischer für Fernarbeit. Das Host-System ist ein normaler Windows-Laptop (E-Mail, Internet); die PAW läuft als Hyper-V- oder VMware-VM mit strikten Isolationsregeln. Hyper-V-Konfiguration: Enhanced Session Mode deaktivieren (verhindert Clipboard-Sharing), keine Shared Folders, separates virtuelles Netz mit ausschließlichem Zugang zum Admin-Netzwerk, Internet-Zugang blockiert über Firewall-Rule im vSwitch, USB-Passthrough deaktiviert. Einschränkungen: VM-Escape-Schwachstellen existieren theoretisch, eine Host-Kompromittierung kann die PAW gefährden, Clipboard und Drag-and-Drop müssen explizit deaktiviert sein.

Modell 3: Cloud-basierte PAW nutzt Azure Virtual Desktop (AVD) oder Windows 365 als PAW. Der Admin verbindet sich per AVD-Client; die AVD-Session läuft in Azure, nicht auf dem lokalen Gerät. Das lokale Gerät darf für Admin-Verbindungen ausschließlich den AVD-Client nutzen. Vorteile: gerätunabhängig (auch vom privaten Laptop aus), Azure Conditional Access schützt die PAW-Session, zentrales Management und Logging. Nachteile: Internet-Abhängigkeit, Azure-Kompromittierung bedeutet PAW-Kompromittierung.

PAW-Härtungskonfiguration

Die Windows-Härtung der PAW erfolgt via GPO und umfasst mehrere Schichten:

Software-Restriktion via AppLocker/WDAC: Erlaubt sind ausschließlich Windows-Systemprogramme (C:\Windows\*), Admin-Tools (RSAT, PowerShell, MMC) und der AV/EDR-Agent. Alles andere ist blockiert - kein Browser, kein Office, kein Teams, kein Notepad++.

Netzwerk-Firewall-Regeln (Outbound): Erlaubt sind Admin-Netzwerke (z.B. 192.168.100.0/24), Domain-Controller-IPs, Corporate DNS und Windows-Update. Blockiert sind alle Internet-Verbindungen (HTTP/HTTPS zu externen IPs) und User-Netzwerke (VLANs der normalen Mitarbeiter).

Credential Guard aktivieren (schützt LSA-Credentials durch Virtualisierung, erschwert Pass-the-Hash aus Credential-Dumps erheblich) via Registry-Schlüssel HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags = 1.

Attack Surface Reduction (ASR) Rules via Intune oder GPO: "Block credential stealing from LSASS", "Block process injections", "Block untrusted executables from USB" und "Block Office apps from creating child processes" - alle auf ENABLE setzen.

Windows Defender Application Guard (WDAG): Wenn ein Browser zwingend benötigt wird, ausschließlich in der WDAG-Sandbox betreiben. WDAG isoliert Browser-Sessions in einem Hyper-V-Container; Malware im Browser-Container kann nicht auf Host-Ressourcen zugreifen.

USB-Zugriff deaktivieren via Registry (HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start = 4) und GPO: Computer Config → Admin Templates → System → Removable Storage → "All Removable Storage: Deny all access".

SMB-Signing erzwingen (verhindert NTLM-Relay von der PAW aus): GPO "Network security: LAN Manager authentication level" auf "Send NTLMv2 response only. Refuse LM & NTLM" setzen.

Empfohlene Admin-Tools auf der PAW: Remote Server Administration Tools (RSAT), Active Directory Users and Computers, Group Policy Management Console, Microsoft Management Console (MMC), PowerShell mit Script-Signing-Enforcement, Azure/Entra ID Admin Center (via WDAG-Browser) und der PAM-Tool-Client (CyberArk, BeyondTrust).

Integration in Tiered-Administration-Modell

Tier 0 - Control Plane (Domain Controller, PKI): Maximal 2-5 Personen. PAW-Typ: physisch dediziertes Gerät. Erlaubt: DC-Administration (Active Directory) und PKI-Administration. Privilegierte Accounts (Domain Admin, Enterprise Admin) dürfen ausschließlich auf Tier-0-PAWs eingeloggt werden, niemals auf normalen Workstations.

Tier 1 - Server-Ebene: IT-Team. PAW-Typ: VM oder physisch je nach Risikoeinstufung. Erlaubt: Windows-Server-, VMware/Hyper-V- und Datenbankserver-Administration. Server-Admins dürfen keine Domain Controller administrieren.

Tier 2 - Workstations/Endgeräte: Helpdesk und Desktop-Support. PAW-Typ: strikte normale Workstation mit eingeschränkten Rechten. Erlaubt: Endgeräte-Management (Intune, SCCM) und LAPS-Verwaltung. Keine Tier-2-Admins dürfen Server oder DCs anfassen.

Durchsetzung mit GPO: "Deny log on locally" auf den Tier-0-DCs für die Gruppen Tier-1-Admins und Tier-2-Admins - verhindert unberechtigte DC-Logins.

Authentication Policy Silos (ab Windows Server 2012 R2): Tier-0-Accounts dürfen nur auf Tier-0-Computern authentifizieren. Ein Tier-0-Account auf einem normalen PC wird automatisch verweigert.

LAPS (Local Administrator Password Solution): Alle Workstations erhalten eindeutige lokale Admin-Passwörter, die automatisch alle 30 Tage rotiert und in Active Directory gespeichert werden. Tier-2-Admins können sie per LAPS lesen. LAPS verhindert Pass-the-Hash für lokale Accounts über lateral Movement.

Monitoring von PAW-Aktivitäten

Kritische Windows-Events auf PAW-Computern: Event 4624 (Logon) von Nicht-Admin-Accounts auf PAW, Event 4648 (Explicit Credentials / Credentials-Wechsel), Event 7045 (neuer Service auf PAW - verdächtig) und Event 4698 (neuer Scheduled Task auf PAW).

Anomalie-Erkennung: Admin-Account der sich nicht von einer bekannten PAW einloggt, PAW die sich mit einer Internet-IP verbindet und ungeplante Prozesse auf der PAW.

KQL in Microsoft Sentinel:

// Admin-Login nicht von PAW:
SecurityEvent
| where EventID == 4624
| where Account contains "admin" or Account contains "svc"
| where Computer !in (known_paw_hostnames)
| where LogonType in (3, 10)  // Network + RemoteInteractive
| project TimeGenerated, Account, Computer, IpAddress

// PAW verbindet sich mit Internet:
DeviceNetworkEvents
| where DeviceName in (paw_devices)
| where RemoteIPType == "Public"
| where RemotePort in (80, 443, 8080)
| project Timestamp, DeviceName, RemoteIP, RemotePort, InitiatingProcessFileName

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 04.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de