Enhanced Security Admin Environment
Von Microsoft entwickeltes Architekturmodell zur Absicherung privilegierter Verwaltungszugänge in Active Directory durch strikte Trennung der Verwaltungsebenen.
Die Enhanced Security Admin Environment (ESAE), auch als Red Forest oder Hardened Admin Forest bekannt, ist ein von Microsoft entwickeltes Referenzmodell für die Absicherung privilegierter Zugänge in Active Directory. Das Konzept basiert auf einer dedizierten, gehärteten Gesamtstruktur (Forest), die ausschließlich für die Verwaltung von Tier-0-Ressourcen genutzt wird — physisch und logisch getrennt vom produktiven Netzwerk. Obwohl Microsoft das klassische ESAE-Modell inzwischen durch das Enterprise Access Model abgelöst hat, bleiben die architektonischen Grundprinzipien für jede Organisation relevant, die privilegierte Verwaltung ernst nimmt.
Architektur des Red Forest
Der Kern von ESAE ist ein separater Active-Directory-Forest, der ausschließlich für die Verwaltung kritischer Infrastruktur existiert. Dieser sogenannte Red Forest oder Admin Forest enthält die Tier-0-Konten, die Domain Controller des produktiven Forests verwalten dürfen. Der Zugriff erfolgt über eine einseitige Forest-Trust-Beziehung: Der Admin Forest vertraut dem produktiven Forest nicht, während der produktive Forest dem Admin Forest selektiv vertraut.
Administratoren authentifizieren sich im Admin Forest über dedizierte PAW-Systeme (Privileged Access Workstations), die physisch vom Unternehmensnetzwerk getrennt und maximal gehärtet sind. Der Netzwerkzugang wird über Firewall-Regeln auf das absolute Minimum beschränkt — kein Internetzugang, keine E-Mail, kein Office. Diese strikte Isolation soll verhindern, dass ein Angreifer, der den produktiven Forest kompromittiert hat, automatisch auch Zugriff auf die Verwaltungsebene erlangt.
ESAE vs. Enterprise Access Model
Microsoft hat das klassische ESAE-Modell als zu komplex und zu statisch für moderne Hybrid-Umgebungen eingestuft und empfiehlt seit 2020 das Enterprise Access Model. Beide Ansätze verfolgen das gleiche Ziel — die strikte Trennung privilegierter Verwaltung — unterscheiden sich aber erheblich in der Umsetzung.
| Kriterium | ESAE (Red Forest) | Enterprise Access Model |
|---|---|---|
| Architektur | Separater Admin Forest mit Forest Trust | Logische Tier-Trennung innerhalb bestehender Infrastruktur |
| Cloud-Integration | Nicht vorgesehen, rein on-premises | Native Integration von Entra ID und Cloud-Ressourcen |
| Implementierung | Vollständiges Deployment erforderlich | Schrittweise Härtung möglich |
| Verwaltungsaufwand | Hoch — eigener Forest erfordert eigene Infrastruktur | Geringer — nutzt vorhandene Strukturen |
| Tier-Modell | Drei Tiers (0, 1, 2) | Erweitert um Control Plane, Management Plane, User Access |
| Identitätsquelle | Lokales AD im Admin Forest | Entra ID als primäre Identitätsquelle möglich |
| Netzwerksegmentierung | Physische Trennung über separate Netzwerke | Kann auf Conditional Access und logischer Segmentierung aufbauen |
Das Enterprise Access Model behält die Kernprinzipien des Tiering-Modells bei, erweitert sie aber um Cloud-native Konzepte wie Conditional Access Policies, PAM-Lösungen mit Just-in-Time-Aktivierung und kontinuierliche Zustandsbewertung der Endgeräte.
Kernkomponenten
Eine ESAE-Implementierung — ob klassisch oder modernisiert — umfasst mehrere aufeinander abgestimmte Komponenten. Die Tier-Trennung bildet das Fundament: Tier 0 umfasst Domain Controller, AD-Schema, PKI-Infrastruktur und Forest-Trust-Konfigurationen. Tier 1 beinhaltet Server, Applikationen und deren Verwaltungskonten. Tier 2 deckt Workstations, Benutzerkonten und Endgerätemanagement ab. Jede Ebene wird durch eigene Administratorkonten verwaltet, die ausschließlich innerhalb ihres Tiers operieren dürfen.
Privileged Access Workstations stellen sicher, dass administrative Tätigkeiten nur von gehärteten, dedizierten Systemen aus erfolgen. Diese PAWs werden über GPO-Richtlinien und Device Guard abgesichert, Credential Guard schützt die zwischengespeicherten Anmeldedaten vor Extraktion. Lokale Administratorpasswörter werden über LAPS rotiert, um Pass-the-Hash-Angriffe auf lokale Konten zu unterbinden.
Die Authentifizierung innerhalb der ESAE-Umgebung stützt sich auf gehärtete Kerberos-Konfigurationen mit reduzierten Ticket-Laufzeiten, eingeschränkter Delegation und aktiviertem AES-256-Verschlüsselungstyp. Ältere Verschlüsselungsverfahren wie RC4 werden deaktiviert, um Kerberoasting-Angriffe zu erschweren.
Angriffsvektoren, die ESAE adressiert
ESAE wurde als Antwort auf reale Angriffsszenarien entwickelt, die in der Praxis regelmäßig zur vollständigen Kompromittierung von Active-Directory-Umgebungen führen. Lateral Movement über gestohlene Credentials ist der häufigste Angriffsvektor: Ein Angreifer kompromittiert eine Workstation, extrahiert zwischengespeicherte Anmeldedaten und bewegt sich schrittweise in Richtung Tier-0-Systeme. Die strikte Tier-Trennung unterbricht diesen Pfad, indem Tier-0-Credentials niemals auf Tier-1- oder Tier-2-Systemen zum Einsatz kommen.
Golden-Ticket-Angriffe nutzen den KRBTGT-Account, um beliebige Kerberos-Tickets zu fälschen. ESAE begrenzt den Schaden, indem der KRBTGT-Account des Admin Forests vom produktiven Forest isoliert bleibt. DCSync-Angriffe, bei denen ein Angreifer die Replikationsfunktion der Domain Controller missbraucht, werden durch restriktive Replikationsberechtigungen und Netzwerksegmentierung adressiert.
Auch gegen Angriffe über kompromittierte GPO-Objekte oder manipulierte Softwareverteilung bietet die Architektur Schutz: Da der Admin Forest keine Trust-Beziehung zum produktiven Forest eingeht, können dort erstellte Gruppenrichtlinien die Verwaltungsumgebung nicht beeinflussen.
Von ESAE zum Enterprise Access Model
Der Übergang vom klassischen ESAE-Modell zum Enterprise Access Model ist keine radikale Ablösung, sondern eine evolutionäre Weiterentwicklung. Organisationen, die bereits in ESAE investiert haben, können ihre bestehende Tier-Trennung beibehalten und schrittweise um Cloud-Komponenten erweitern. Der Admin Forest kann parallel zu einer Entra-ID-basierten Verwaltung betrieben werden, bis die Cloud-Identitäten vollständig etabliert sind.
Für Organisationen ohne bestehende ESAE-Implementierung empfiehlt sich der direkte Einstieg über das Enterprise Access Model. Es bietet dieselbe Schutzwirkung bei geringerem Infrastrukturaufwand und berücksichtigt hybride Identitätslandschaften von Anfang an. Die Priorisierung bleibt dabei identisch: Tier-0-Schutz zuerst, dann schrittweise Härtung der unteren Ebenen.
Relevanz für KMUs
Eine vollständige Red-Forest-Implementierung mit dediziertem Admin Forest, separater Netzwerkinfrastruktur und eigenen PAW-Systemen übersteigt das Budget und die Betriebskapazität der meisten kleinen und mittleren Unternehmen. Die Grundprinzipien hinter ESAE lassen sich jedoch pragmatisch und skaliert umsetzen: separate Administratorkonten pro Tier, Einschränkung der Anmeldung von Tier-0-Konten auf dedizierte Systeme über GPO-Richtlinien, LAPS für lokale Adminpasswörter und Credential Guard auf allen Verwaltungssystemen.
Entscheidend ist nicht die vollständige Architektur, sondern die konsequente Umsetzung des Kernprinzips: Privilegierte Verwaltung muss von normaler IT-Nutzung getrennt sein. Bereits die Einführung getrennter Adminkonten mit eingeschränkten Anmelderechten und die Härtung der Kerberos-Konfiguration reduzieren die Angriffsoberfläche erheblich — ohne dass ein separater Forest erforderlich ist.