PAM JIT Manager

PAM JIT Manager

IT-Sicherheit · Privileged Access Management

Sie haben die Adminrechte entzogen. Der Benutzer hat sie trotzdem noch.

Lesezeit ca. 9 Minuten · von Jörn Walter, IT-Service Walter

Stellen Sie sich vor, ein Mitarbeiter wird freigestellt. Sie entfernen ihn aus der Admingruppe. Zwei Minuten später sitzt er noch immer auf dem Fileserver – mit vollen Administratorrechten. Kein Angriff, kein Fehler im Verzeichnis. Windows verhält sich exakt so, wie es entworfen wurde.

Der Grund ist eine Eigenschaft, die kaum jemand auf dem Schirm hat: Ein Access Token wird nie neu bewertet. Ist der Benutzer angemeldet, trägt seine Sitzung die Gruppen-SID in einem Token, das beim Anmelden ausgestellt wurde. Es stirbt mit der Sitzung – nicht mit der Gruppenmitgliedschaft. Sie können die Gruppe löschen, den Benutzer sperren, das Verzeichnis auf den Kopf stellen: Das Token bleibt.

Der Kern in einem Satz: Ein Widerruf, der nur im Verzeichnis stattfindet, ist eine Absichtserklärung – keine Maßnahme. Solange die Sitzung des Benutzers läuft, behält er die Rechte, die Sie ihm gerade entzogen haben.

Und selbst wenn Sie die Sitzung beenden, ist es nicht vorbei. Das Kerberos-TGT auf dem Client trägt die Gruppen-SIDs vom Zeitpunkt der Anmeldung. Der KDC kopiert sie beim Ausstellen neuer Service-Tickets aus dem TGT – er liest die Gruppen nicht frisch aus dem Active Directory nach. Solange das TGT lebt, üblicherweise zehn Stunden, kann sich der Benutzer neu verbinden und bringt die entzogene Gruppe wieder mit.

Das ist kein Nischenwissen. Das ist die Grundmechanik, auf der jede Rechtevergabe in Active Directory ruht.

Das eigentliche Problem ist nicht die Vergabe

In vielen Umgebungen bedeutet „wir machen JIT”: Es gibt ein PowerShell-Skript, das jemanden für zwei Stunden in eine Gruppe steckt. Technisch korrekt – und trotzdem entsteht damit meist keine einzige Zeile echter Sicherheit. Denn drei Fragen bleiben unbeantwortet:

Wirkt die Vergabe überhaupt?
Die AD-Admingruppe muss in der lokalen Administratoren-Gruppe des Zielrechners stehen. Steht sie dort nicht, läuft die schönste Just-in-Time-Vergabe ins Leere – und niemand merkt es, bis jemand anruft.
Wer sitzt noch daneben?
Sie begrenzen die Rechte Ihrer Techniker auf zwei Stunden – und auf demselben Server steht seit 2019 ein Dienstkonto in der lokalen Administratorengruppe. Die Zeitbegrenzung wird damit zur Zeremonie.
Können Sie es beweisen?
Ein Auditor fragt nicht, ob Sie JIT machen. Er fragt: Wer hatte am 14. März zwischen 8 und 10 Uhr Adminrechte auf SRV-FILE01, aufgrund welchen Tickets, und wann wurden sie wieder entzogen? Wenn die Antwort ein Transkript ist, das der Administrator selbst löschen kann, ist es kein Nachweis – es ist eine Erzählung.

Warum die großen Suiten oft die falsche Antwort sind

Es gibt Werkzeuge, die all das lösen. Sie heißen CyberArk, BeyondTrust oder Delinea. Sie sind ausgezeichnet – und sie kommen mit einem Agenten auf jedem Endpunkt, einer Cloud-Konsole und einem Lizenzmodell pro Gerät.

Für einen Konzern ist das richtig. Für ein Unternehmen mit 300 Rechnern, das wegen NIS2, ISO 27001 oder der Cyberversicherung seine Daueradmins loswerden muss, ist es ein fünfstelliges Jahresabo für ein Problem, das Active Directory bereits selbst lösen kann.

Denn seit Windows Server 2016 gibt es das PAM Optional Feature. Damit kennt Active Directory zeitlich begrenzte Gruppenmitgliedschaften nativ: member;TTL. Das Verzeichnis entfernt die Mitgliedschaft selbst – und, das ist der eigentliche Clou, es kürzt die Lebensdauer neu ausgestellter Kerberos-Tickets auf die Restlaufzeit der Mitgliedschaft.

Der entscheidende Punkt: Das Token-Fenster, von dem oben die Rede war, schließt sich damit von selbst – jedenfalls beim planmäßigen Ablauf. Kein Agent. Kein Dienst auf dem Zielrechner. Kein Cloud-Konto. Das Verzeichnis, das Sie ohnehin betreiben, setzt den Ablauf durch.

Was daraus entstanden ist

Genau darauf ist der ISW PAM JIT Manager aufgesetzt. Je Computer eine AD-Admingruppe, einmalig per WinRM in die lokale Administratorengruppe eingetragen. Danach passiert die Rechtevergabe ausschließlich im Verzeichnis – auf dem Rechner selbst wird nie wieder etwas geändert. Was dazukommt, ist das, was ein Skript nicht leistet:

Der Abgleich
Regelmäßige Prüfung, ob die Admingruppe auf jedem verwalteten Rechner noch drinsteht – und wer sonst noch dort sitzt. Legitime Ausnahmen (Exchange Trusted Subsystem, SQL-Dienstkonten, Backup-Agent) lassen sich als Rolle hinterlegen, damit die Warnung Signal bleibt und nicht Rauschen wird.
Der Nachweis
Ticketnummer und Begründung sind Pflicht. Jeder Vorgang landet in einem Protokoll, dessen Einträge über eine SHA-256-Hash-Kette verknüpft sind. Das verhindert Manipulation nicht – es macht sie nachweisbar.
Geplante Vergaben
Rechte für ein Wartungsfenster am Wochenende lassen sich vormerken. Bis zum Beginn steht im Verzeichnis nichts – der Benutzer hat bis dahin keinerlei Rechte.
Sofortiger Entzug
Beim Widerruf lassen sich auf Wunsch die Sitzungen des Benutzers auf dem Zielrechner beenden – Anmeldung, SMB-Verbindungen und Ticket-Cache. Erst damit wirkt der Entzug wirklich sofort.
Und die unbequeme Ehrlichkeit: Der Compliance-Bericht schreibt aus, dass es kein Vier-Augen-Prinzip gibt. Er schreibt aus, dass „abgelaufen” bedeutet, dass die Mitgliedschaft entfernt wurde – und dass ein bereits ausgestelltes Ticket die Gruppe noch bis zu seinem Ablauf enthalten kann. Er schreibt aus, auf wie vielen Rechnern die Vergabe wirkungslos ins Leere läuft. Kein Hersteller schreibt so etwas in seinen Bericht. Ich halte das für einen Fehler: Ein Sicherheitswerkzeug, das seine eigenen Grenzen verschweigt, erzeugt genau das, was es verhindern soll – falsche Sicherheit.

Vom Risiko zum Nachweis

Der Verzicht auf dauerhafte Administratorrechte ist kein „Nice to have”. Er ist in den einschlägigen Regelwerken fest verankert – und zwar durchgängig.

BSI IT-Grundschutz

Der Baustein ORP.4 „Identitäts- und Berechtigungsmanagement” fordert, Berechtigungen auf das notwendige Maß zu beschränken, regelmäßig zu überprüfen und dokumentiert zu vergeben. APP.2.2 „Active Directory Domain Services” verlangt darüber hinaus einen restriktiven Umgang mit administrativen Konten und deren Nachvollziehbarkeit. Ein dauerhaft in der lokalen Administratorengruppe hinterlegtes Benutzerkonto widerspricht beidem unmittelbar.

ISO/IEC 27001:2022

Control 8.2 „Privileged access rights” verlangt, privilegierte Zugriffsrechte einzuschränken, zeitlich zu begrenzen und ihre Nutzung zu protokollieren. Die zeitlich begrenzte Vergabe mit Ticketbezug und manipulationsgeschütztem Protokoll adressiert genau diese Anforderung – und liefert im Audit den Beleg dazu.

NIS2 und Cyberversicherungen

Art. 21 der NIS2-Richtlinie verlangt Risikomanagementmaßnahmen einschließlich Zugriffskontrolle und Konzepten für den Umgang mit privilegierten Konten. Und der praktische Treiber kommt derzeit oft von einer ganz anderen Seite: Cyberversicherer fragen im Fragebogen inzwischen ausdrücklich nach Just-in-Time-Administration und dem Verzicht auf permanente lokale Adminrechte.

Wichtig: Diese Zuordnung dient der Orientierung und ersetzt keine rechtliche oder auditbezogene Einzelfallprüfung. Die konkrete Anwendbarkeit hängt vom Geltungsbereich, der Schutzbedarfsfeststellung und der eingesetzten Edition der Regelwerke ab. Die Botschaft bleibt aber eindeutig: Dauerhafte Adminrechte sind heute begründungspflichtig – nicht der Normalfall.

Was das Werkzeug in der Praxis leistet

  • Kein Agent, keine Cloud. Die Rechtevergabe läuft ausschließlich über Active Directory – auf dem Zielrechner wird nach der Einrichtung nichts mehr verändert.
  • Ablauf durch das Verzeichnis per member;TTL – inklusive verkürzter Kerberos-Ticketlebensdauer. Ohne PAM-Feature übernimmt die Ablauf-Engine des Werkzeugs.
  • Abgleich der lokalen Administratorengruppen – meldet fehlende Admingruppen und fremde lokale Administratoren, die die Zeitbegrenzung umgehen.
  • Ticketpflicht und Begründung bei jeder Vergabe – kein Recht ohne Vorgang.
  • Manipulationsgeschütztes Audit-Protokoll mit SHA-256-Hash-Kette – ohne Funktion zum Bereinigen, denn ein löschbarer Nachweis ist keiner.
  • Individuelle Gruppen – auch Anwendungs- und Rollengruppen ohne Computerbezug lassen sich zeitlich begrenzt vergeben.
  • Berichte in PDF, HTML und Word – Compliance-Nachweis, Vergabe-Historie und Abdeckung der Computer, auf Wunsch per E-Mail.

Für Managed Service Provider ist der letzte Punkt entscheidend: Aus „Wir vergeben Adminrechte nur temporär” wird ein belegbares Quartals-Dokument, das man dem Kunden auf den Tisch legen kann.

Drei Fragen, die jeder Verantwortliche beantworten können sollte

Am Ende geht es nicht um ein Werkzeug, sondern um drei Fragen. Prüfen Sie sie heute – ganz ohne neue Software:

1 Wer steht in den lokalen Administratorengruppen Ihrer Server? Nicht „wer sollte” – wer steht. Die Antwort überrascht fast immer.
2 Was passiert, wenn Sie jemandem die Adminrechte entziehen, während er angemeldet ist? Testen Sie es. Es ist ernüchternd.
3 Können Sie einem Auditor beweisen, wer letzten Dienstag Administrator war? Wenn die Antwort in einer Datei steht, die Sie selbst ändern können, lautet die Antwort: nein.

Fazit

Dauerhafte lokale Administratorrechte sind heute begründungspflichtig – nicht der Normalfall. Active Directory bringt seit Server 2016 alles mit, um sie abzuschaffen: zeitlich begrenzte Gruppenmitgliedschaften, durchgesetzt vom Verzeichnis selbst, ohne Agent und ohne Cloud. Was fehlt, ist die Kontrolle darüber, ob die Vergabe auch wirkt – und der Nachweis, der im Audit standhält. Genau diese Lücke schließt der ISW PAM JIT Manager. Just in Time ist kein Produkt, das man kauft. Es ist eine Eigenschaft, die man nachweisen können muss.

© 2026 IT-Service Walter · isw-adtools.de · der-windows-papst.de