goSecurity BLOG

30. August 2025
|In Azure, goSecurity, Informationssicherheit, Informationssicherheit, Netzwerk, Windows Server
|By Sebastian Werner
HOMEBlog Azure, goSecurity, Informationssicherheit, Netzwerk, Windows ServerDas Tier-System

Das Tier-System

In einer modernen IT-Infrastruktur sind Sicherheitsrisiken allgegenwärtig. Ein falscher Klick, eine kompromittierte Anmeldeinformation oder ein unzureichend geschütztes Administratorkonto können schnell zu einem massiven Sicherheitsvorfall führen. Um solchen Bedrohungen effektiv zu begegnen, hat Microsoft das sogenannte Tiering-Modell entwickelt – ein Sicherheitskonzept, das auf einer klaren Trennung von administrativen Berechtigungen und Systemebenen basiert. Es wurde ursprünglich im Rahmen von Massnahmen gegen Angriffe wie „Pass-the-Hash“ eingeführt und gilt heute als bewährte Methode zur Absicherung von Active Directory-Umgebungen.

In diesem Blog erläutern wir, warum dieses Konzept wichtig ist, wie es umgesetzt wird und wie man sicherstellt, dass der Zugriff auf niedriger klassifizierte Tier-Systeme durch Domänen-Administratoren eingeschränkt wird.

Warum ist ein Server-Tier-System wichtig?

Das Tier-Modell hilft, die IT-Infrastruktur in verschiedene Sicherheitsklassen aufzuteilen und den Zugriff entsprechend zu steuern. Dies reduziert das Risiko von Lateral Movement und Privilegieneskalation durch Angreifer.

Vorteile des Tier-Systems:
  1. Minimierung von Angriffsmöglichkeiten
    • Durch strikte Trennung der Berechtigungen wird verhindert, dass kompromittierte Konten Zugriff auf alle Systeme erhalten.
  2. Verhinderung von lateraler Bewegung
    • Falls ein Angreifer Zugriff auf einen niedrigen Tier erhält, kann er nicht einfach auf höherwertige Systeme übergehen.
  3. Schutz kritischer Systeme
    • Besonders schützenswerte Systeme (z. B. Domänencontroller) sind isoliert und nicht mit weniger vertrauenswürdigen Geräten verbunden.
Klassifizierung der IT-Infrastruktur:

Tier 0 - Kritische Systeme

Beschreibung:

Enthält die wichtigsten Systeme in einer Umgebung:

  • Domänencontroller
  • PKI-Systeme
  • Microsoft Entra Connect
  • Hochprivilegierte Accounts (Enterprise-Admins, Schema-Admins)

Zugriffsregeln:

  • Nur von dedizierten, gesicherten Admin-Workstations aus zugänglich
  • Keine Anmeldung von Tier 1- oder Tier 2-Konten erlaubt
  • Nutzung von Just-In-Time-Privilegien (z. B. mit Privileged Access Management, Privileged Identity Management (PIM))

Tier 1 - Server- und Applikationseben

Beschreibung:

Enthält Server und geschäftskritische Anwendungen:

  • Datei-, Druck- und Applikations-Server
  • Datenbank-Server
  • SharePoint, Exchange, ERP-Systeme

Zugriffsregeln:

  • Keine Anmeldung mit Tier 0-Accounts
  • Admins dürfen sich nur mit Tier 1-Konten auf diesen Servern anmelden
  • Kein direkter Zugriff von Endbenutzergeräten (Tier 2)

 Tier 2 - Endgeräte und Benutzerverwaltung

Beschreibung:

Enthält normale Benutzergeräte und Arbeitsstationen:

  • Desktops, Laptops
  • IT-Helpdesk-Tools für Benutzerverwaltung

Zugriffsregeln:

  • Keine Anmeldung mit Tier 0- und Tier 1-Accounts
  • Standardbenutzerkonten dürfen keine administrativen Aufgaben ausführen
Worauf geachtet werden muss

Die erfolgreiche Implementierung eines Tier-Systems erfordert sorgfältige Planung und Disziplin bei der Einhaltung der Richtlinien. Hier sind einige Best Practices, die beachtet werden sollten:

 Strikte Netzwerksegmentierung

  • Jedes Tier sollte in eigenen VLANs (Netzwerksegmentierung) oder Firewall-Zonen laufen, um unautorisierte Verbindungen zu verhindern.

 Verwendung von separaten Admin-Konten

  • Administratoren benötigen getrennte Konten für Tier 0, Tier 1 und Tier 2.

  • Ein Admin-Konto für Tier 1 darf sich niemals auf einem Tier 0-System anmelden.

  • Admins sollten Tier 0-Systeme bevorzugt nur von speziell gesicherten Geräten verwalten. Diese Geräte sollten nur über eingeschränkten Internetzugriff verfügen und nur für administrative Aufgaben genutzt werden.

 Privileged Access Management (PAM) & Just-in-Time (JIT) Access

  • Statt permanente Berechtigungen zu vergeben, sollten Administratoren temporär privilegierte Rollen erhalten (z. B. über Microsoft Privileged Identity Management).

 Monitoring & Logging

  • Implementierung von Security Information and Event Management (SIEM), um unautorisierte Zugriffe und ungewöhnliche Aktivitäten zu erkennen.

Umsetzung AD & Entra ID (ehemals AzureAD)

Active Directory

Wie verhindert man, dass Domänen-Administratoren sich an Tier 0- oder Tier 1-Systemen anmelden?

Ein häufiger Fehler bei der Implementierung des Tier-Systems ist, dass Domänen-Administratoren (Tier 0) sich fälschlicherweise auf Tier 1- oder Tier 2-Systemen anmelden können. Dadurch setzen sie ihre privilegierten Anmeldeinformationen potenziellen Bedrohungen aus.

Hier sind einige effektive Massnahmen, um dies zu verhindern:

  1. Gruppenrichtlinien (GPO) zur Anmeldungseinschränkung

Mit einer GPO-Richtlinie kann verhindert werden, dass Tier 0-Administratoren sich auf Tier 1- oder Tier 2-Systemen anmelden:

  • Computer Configuration → Windows Settings → Security Settings → Local Policies → User Rights Assignment

    • „Deny access to this computer from the Network“

    • „Deny log on as a batch job“

    • „Deny log on as a service“

    • „Deny log on localy“

    • “Deny log on through Terminal Services“

  • Diese Einstellungen sollten für Tier 1- und Tier 2-Systeme mit einer GPO für Tier 0-Administratoren gesetzt werden.

GPO Beispiel Workstation (Tier 2):

GPO Workstation Access

GPO Beispiel Server (Tier 1):

GPO Server Access

Microsoft Entra ID (ehemals AzureAD)

Auch im Cloudbereich hat Microsoft die Problematik erkannt und letzten Sommer (August 2024) eine neue Funktion eingebaut. Neu kann eingestellt werden, dass bei allen neuen Microsoft Entra joined devices die Rolle Global Administrator nicht mehr automatisch der lokalen Administratorengruppe hinzugefügt wird. Diese Funktion finden Sie im Entra ID Portal unter Devices > All devices > Device settings.

Wenn das “Automatisch hinzufügen” der Rolle Global Administrator deaktiviert wird, wird nur noch die Rolle Microsoft Entra Joined Device Local Administrator bei allen neuen Geräten in die lokale Administratorengruppe eingefügt. Diese Rolle ist speziell dafür konzipiert, Microsoft Entra joined devices zu verwalten.

Diese Funktion bietet allerdings nur teilweise Sicherheit, da nicht zwischen Tier 1 (Server- und Applikationsebene) und Tier 2 (Endgeräte und Benutzerverwaltung) unterschieden wird. Wenn jedoch keine Server eingesetzt werden, ist es eine einfache Umsetzung des Tier-Systems.

Bei bestehenden Geräten muss die Rolle Global Administrator manuell entfernt werden. Dazu muss als erstes die richtige Rolle identifiziert werden, was nicht einfach ist. Die Problematik ist, dass die Rollen auf den Clients nicht nach Namen aufgelöst werden, sondern in der lokalen Administratorengruppe nur die SID ersichtlich ist. Davon sollten zwei ersichtlich sein:

Deutsch:

Get-LocalGroupMember -Group Administratoren

Englisch:

Get-LocalGroupMember -Group Administrators

Das Script von okieselbach gibt nun die Object ID der entsprechenden Rolle aus:

In einem nächsten Schritt müssen wir die Object ID gegenprüfen mit den Rollennamen. Da Microsoft die Azure-AD Module abgelöst hat, muss dies über Microsoft Graph gemacht werden. Folgender PowerShell Befehl kann verwendet werden, um eine Verknüpfung zwischen Object ID und Rollennamen zu erstellen:

Install-Module Microsoft.Graph
Connect-MgGraph
(Get-MgDirectoryRole -DirectoryRoleId a015eb92-xxxx-xxxx-xxxx-xxyyxxyyxxyy).DisplayName

Somit können wir bei bestehenden Geräten im Entra ID eruieren, welche SID der Rolle Global Administrator zugewiesen werden kann.

Als nächstes können wir im Microsoft Intune unter Endpoint security eine neue Policy hinzufügen, um die entsprechende SID zu entfernen. Dazu muss unter Local Group “Administrators“ ausgewählt werden, als Aktion “Remove (Update)“, der Typ muss auf “Manual“ gestellt werden.

Unter Selected User(s) kann die SID der Global Admin Rolle eingetragen werden.

Sobald die Policy einer entsprechenden Gruppe hinzugefügt wird, wird die Rolle bei den Geräten entfernt. So kann die Policy auch in einem ersten Schritt auf eine ausgewählte Gruppe angewendet werden.

Fazit

Tiering ist ein bewährtes Sicherheitsmodell, das Organisationen hilft, ihre IT-Infrastruktur besser zu schützen. Es ermöglicht eine strukturierte Trennung der unterschiedlich klassifizierten Systeme (Tier 0-2). Dies minimiert das Risiko, dass Angreifer bei einem Sicherheitsvorfall ungehindert auf sensible Daten zugreifen können. Durch die Implementierung von Tiering können Unternehmen die Verwaltung ihrer Berechtigungen und die Kontrolle über privilegierte Konten verbessern. Tiering sollte daher als eine essenzielle Best Practice betrachtet werden, um das Sicherheitsniveau einer Organisation zu erhöhen und das Risiko von Datenverlust oder unbefugtem Zugriff zu verringern.

Informationen zum Autor: Sebastian Werner

Durch meine langjährige IT-Erfahrung insbesondere mit Firewalls wurde mir die stetig steigende Bedeutung der IT-Sicherheit bewusst. Mitte 2022 habe ich dann entschieden, dass ich mein Wissen aktiv dafür einsetzen will, Unternehmen den Weg zu einem langfristigen und guten IT-Sicherheitsniveau zu weisen. Seit Anfang 2023 bin ich nun Teil des Teams und es freut mich meinen Teil zu einer Schweiz ohne Schäden durch Cyberattacken beitragen zu können.