nobeastsofierce - Fotolia

Best Practices: Sicherheit von hybriden Verzeichnisdiensten

Wenn das lokale Active Directory mit Cloud-Diensten synchronisiert wird, vererben sich auch Schwachstellen. Folgende Maßnahmen erhöhen die Sicherheit.

Um den Zugriff auf alle Anwendungen in der Cloud zu garantieren, synchronisieren Unternehmen mit Microsoft-Systemen die Identitäten des lokalen Active Directory mit der Cloud. Dieser hybride Verzeichnisdienst erbt aber aufgrund der Synchronisation alle Schwachstellen der lokalen Quelle. Die folgenden Best Practices erhöhen die Sicherheit deutlich.

Im Monatsdurchschnitt verlagern etwa eine Million Office-365-Abonnenten On-Premise-Applikationen wie Exchange, SharePoint oder Lync/Skype for Business in die Cloud. Aufgrund der Tatsache, dass Unternehmen seit fast zwei Jahrzehnten den Verzeichnisdienst Active Directory (AD) verwenden, um zahllose Anwendungen, Server, Workstations, IT-Prozesse und Benutzer zu verwalten, gehen sie bei der Etablierung von Hybrid-AD-Umgebungen dazu über, ihre lokalen Identitäten mit Azure Active Directory (AzureAD) und Office 365 zu synchronisieren.

Für die Sicherheit des hybriden Verzeichnisdienstes bedeutet das, dass AzureAD als auch Office 365 alle Schwachstellen des lokalen AD erben, da die Einstellungen und Identitäten von der lokalen Quelle in die Cloud übernommen werden. Folgende Maßnahmen empfehlen sich, um den lokalen Verzeichnisdienst abzusichern.

Datenzugriff kontinuierlich überwachen und anpassen

Die Berechtigungen sowie die Mitglieder privilegierter und sensibler Benutzergruppen müssen regelmäßig überprüft werden, um sicherzustellen, dass alle Informationen korrekt und aktuell sind. Es darf keine Schlupflöcher geben, um unautorisiert Benutzerkonten anzulegen. Dies darf nur eine kleine Gruppe eigens definierter Administratoren. Zudem sind alle Änderungen an zentralen Einstellungen und an den Benutzergruppen und Gruppenmitgliedschaften ausnahmslos aufzuzeichnen.

Bedrohungen durch Echtzeitüberwachung erkennen

Zur frühzeitigen Erkennung und Verhinderung von Insider-Bedrohungen sowie verdächtigen Aktivitäten ist die Echtzeitüberwachung ein probates Mittel. Dafür ist es wichtig, Sicherheitsrichtlinien zu definieren und zu pflegen. Sobald ein Ereignis von den Richtlinien abweicht, lässt sich darauf schnell reagieren. Dazu werden beispielsweise Regeln eingerichtet, die bei jeder verdächtigen Aktion oder einer Veränderung von Benutzerrechten eine Echtzeit-Alarmierung auslösen. Das Gleiche gilt für Datenbanken und Server mit vertraulichen Daten.

Risikopotentiale beseitigen und reduzieren

Da die Zahl der Datenverstöße in alarmierendem Tempo ansteigt, sollten Unternehmen einen Maßnahmenplan besitzen, der die Risiken abschwächt oder beseitigt. Sobald ein nicht autorisierter Zugriff erkannt wird, sollten beispielsweise die Berechtigungen sofort geändert werden – etwa durch automatisierte Verfahren zur Abmeldung von Benutzern.

Wechselt etwa ein Mitarbeiter in eine andere Abteilung oder scheidet er aus, werden all seine bisherigen Berechtigungen und Konten automatisch deaktiviert oder gelöscht. Für besonders gefährdete Gruppen bietet es sich an statt einer unbefristeten Mitgliedschaft temporäre Zugehörigkeiten mit einem eindeutigen Anfangs- und Enddatum festzulegen.

Ereignisse untersuchen und Daten wiederherstellen

Um detaillierter darzustellen, warum ein Sicherheitsvorfall überhaupt stattgefunden hat, werden die Basis-Sicherheitsinformationen in Beziehung zu einem detaillierten Audit gesetzt. AD-Administratoren erhalten dadurch einen 360-Grad-Blick auf die Vorkommnisse – von der Entstehung bis zum Abschluss. Sie können ihn jetzt detailliert untersuchen, und gleichzeitig einen Wiederherstellungsplan implementieren.

„Es ist an der Zeit, darüber nachzudenken, wie sich die Integrität der Active-Directory-Infrastruktur maximieren und gleichzeitig Bedrohungen vermeiden lassen.“

Bert Skorupski, Quest

 

Wenn beispielsweise irgendwelche Schäden an Daten oder Systemen auftraten, ist eine schnelle und zuverlässige Methode für die Wiederherstellung der Daten und der lokalen AD-Infrastruktur nötig, um die Auswirkungen auf den Geschäftsbetrieb zu minimieren – etwa in Form einer automatisierten und soliden Recovery-Lösung.

Die Gewährleistung der Sicherheit des lokalen Active Directory ist ein kontinuierlicher Prozess, der bewährte Verfahren, sorgfältige Prüfung und automatisierte Lösungen erfordert, die jeden einzelnen entscheidenden Schritt beschleunigen und unterstützen. Da sich für Unternehmen mit Cloud-fähigen Apps ganz neue Perspektiven eröffnen, ist es an der Zeit, darüber nachzudenken, wie sich die Integrität der Active-Directory-Infrastruktur maximieren und gleichzeitig Bedrohungen vermeiden lassen.

Über den Autor:
Bert Skorupski ist Senior Manager Sales Engineering bei Quest.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Risiko Zugangsdaten: IAM für Cloud-Anwendungen.

IAM-Strategie an Cloud und Software-defined-Ansätze anpassen.

Identity and Access Management: Die passenden Zugriffsrechte definieren.

Neue Möglichkeiten des Active Directory mit Windows Server 2016.

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close