Schritt für Schritt: Mehr Sicherheit im Active Directory

Schritt 1: Die Ausgangsbasis

Beginen wir mit der Ausgangslage, anhand derer wir den Fortschritt verfolgen können. Da sie die Grundlage für die folgenden Schritte bildet, ist es von größter Bedeutung, sie richtig zu legen.

Rechte im Active Directory. Nur bestimmte Personen benötigen wirklich erweiterte Rechte in AD. Und auch sie benötigen diese nur in dem Umfang, den sie für ihre Arbeit tatsächlich brauchen. Allerdings kann es ohne Automatisierung schwierig sein, herauszufinden, wer das Recht hat, Änderungen an AD-Objekten vorzunehmen. Mit der nativen Windows-Oberfläche und PowerShell kann man einige Fortschritte erzielen, allerdings muss man dabei wahrscheinlich sämtliche Gruppenmitglieder aufzählen (ebenso verschachtelte Gruppenmitglieder sowie delegierte Berechtigungen). Es gibt jedoch kommerzielle Lösungen, die das Reporting über Active Directory-Berechtigungen zum Kinderspiel machen.

GPOs. Gerade bei Gruppenrichtlinienobjekten (GPOs) ist es von größter Bedeutung, den aktuellen Stand zu ermitteln: GPOs können eine breite Palette von Richtlinien durchsetzen, können aber bei unsachgemäßer Änderung ausgesprochen negative Konsequenzen haben. Wenn man mit einem „bekannten guten“ Zustand beginnt und alle nachfolgenden Änderungen genau überwacht, begrenzt man die Gefahren, wenn etwas schiefläuft. Gleichzeitig wird auch ein Recovery deutlich vereinfacht, wenn man genau weiß, was geändert wurde.

Administrator-Konten. Auch Administrator-Konten bedürfen besonderer Aufmerksamkeit. Aufgrund ihrer erweiterten Rechte besteht einerseits die Gefahr eines Machtmissbrauchs durch autorisierte Nutzer, andererseits sind sie lohnende Ziele für Angreifer. Es ist zwingend erforderlich, zu klären, welche Konten Administrationsrechte besitzen und auf welche Ressourcen diese Konten zugreifen können – und sie genau zu überwachen. Eine aktuelle Liste der Administrator-Konten bildet die Grundlage, auf der eine starke Sicherheitspraxis errichtet werden kann. So ist man nicht nur in der Lage, Veränderungen in der Umgebung zu managen, indem man sich auf bestimmte Konten, Personen und Rollen beschränkt, sondern kann auch leichter erkennen, wenn etwas nicht stimmt.

Ähnlich wie bei der Identifizierung von Berechtigungen innerhalb von AD selbs gibt es einige Elemente, die man besonders im Auge behalten sollte, etwa Mitglieder der Gruppe Domain Admins, wobei es etwas schwieriger ist, Mitglieder beziehungsweise Gruppen in „lokalen“ Administrator-Gruppen zu identifizieren. Einige Lösungen ermöglichen es, den Administrator-Zugriff vorübergehend zu gewähren, auch für lokale Administratorkonten. Diesen Ansatz sollte man für zusätzliche Sicherheit in Betracht ziehen – auch wenn die Administratoren nicht die gesamte Zeit Administrator-Zugriff benötigen.

Servicekonten. Fast jede Anwendung nutzt Servicekonten. Diese Konten führen alle Arten von wichtigen Prozessen aus und haben möglicherweise sogar erweiterte Rechte, um einige erforderliche Operationen auszuführen. Auch die Servicekonten müssen exakt dokumentiert und überwacht werden, gerade in Hinblick auf Kontosperren, Passwortänderungen und unübliche Zugriffsmuster. Dabei helfen auch Namenskonventionen (etwa, dass alle Servicekonten mit SVC_ beginnen) und die Verwendung entsprechender Organisationseinheiten (OU). Auf jeden Fall sollte es vermieden werden, ein Servicekonto für verschiedene Anwendungen zu nutzen. Dadurch wird die Verwaltung und Wartung der Konten erheblich vereinfacht. Wird hingegen ein Servicekonto bei mehreren Applikationen eingesetzt und kompromittiert, fällt der Schaden erheblich größer aus – bis hin zu weitreichenden Anwendungsausfällen.

Schritt 2: Einschränken

Durch die Umsetzung eines Privilegienmodells auf Basis der minimalen Rechtevergabe wird gewährleistet, dass nur berechtigte Personen administrativen Zugriff auf AD haben und dass sie nur über so umfangreiche Rechte verfügen, wie sie für ihre Arbeit benötigen. Diese Konten sollten regelmäßig überprüft werden, um sicherzustellen, dass der Zugriff korrekt und immer noch erforderlich ist. Darüber hinaus sollten diese Konten sorgfältig auf Anzeichen einer Kompromittierung überwacht werden, beispielsweise Log-ins von vielen unterschiedlichen Systemen innerhalb kurzer Zeit, unübliche Orte und Änderungen am System außerhalb des üblichen Verhaltens.

Administrator-Konten sind aber nicht die einzigen lohnenden, hochklassigen Ziele. Zahlreiche Nutzer haben Zugriff auf sensible und vertrauliche Daten, etwa personenbezogene Informationen (PII), Finanzdaten oder geistiges Eigentum. Angreifer können diese Accounts nutzen, um nach wertvollen Informationen innerhalb des Unternehmens zu suchen. Die regelmäßige Überprüfung, wer auf sensible Daten zugreifen kann und sollte, reduziert signifikant das Risiko von Datenschutzverstößen. Gerade die Datenpannen in jüngster Zeit, etwa bei HBO oder der NSA, haben gezeigt, dass wertvolle Daten oft auf Dateifreigaben, SharePoint und E-Mail-Servern zu finden sind. Gerade der Zugriff auf unstrukturierte Daten muss überprüft und kontrolliert werden.

Administratorkonten von normalen Konten trennen. Es muss sichergestellt werden, dass Konten mit weitgefassten Rechten nur für die entsprechenden Aufgaben verwendet werden und nicht für den täglichen Gebrauch. Dies erleichtert die Nachverfolgung und Dokumentation des genehmigten administrativen Zugriffs sowie das Erkennen ungewöhnlicher administrativer Zugriffe.

Trennung nach Aufgaben. Einige Administratorkonten sollten ausschließlich für die Administration von AD und andere nur für Dateisystemoperationen verwendet werden. Bei dieser Art der Aufgabenteilung beziehungsweise -trennung ist es einfach, Missbrauch zu erkennen, wenn ein AD-Administrationskonto zu einer Gruppe hinzugefügt wird, die das Dateisystem verwaltet und dann damit beginnt, auf Daten zuzugreifen.

Beschränkung von eingebauten Nutzern und Gruppen. Eingebaute Benutzer und Gruppen werden in jeder Domäne gefunden, so dass sie ein konstantes Ziel im Angreifer-Standardverfahren sind. Zunächst sollte „Gast“ deaktiviert und „Administrator“ umbenannt werden. Mit dieser simplen Maßnahme wird es Angreifern schon ein wenig schwerer gemacht, da sie nicht die Default-Einstellungen nutzen können. Darüber hinaus ist es sinnvoll, alle sensiblen Gruppen umzubenennen.

Spezielle Systeme für Administratoren. Wenn Administratoren eine bestimmte Maschine (oder einen bestimmten Satz von Maschinen) verwenden, ist es einfach, einen Missbrauch zu erkennen und entsprechend zu warnen, wenn von anderen Rechnern auf das System zugegriffen wird. Wenn also ein AD-Event von einer falschen Maschine/IP-Adresse ausgelöst wird, hat sich entweder der Administrator nicht konform angemeldet (worauf man ihn hinweisen sollte), oder ein Angreifer hat das Administrator-Konto gekapert.

Starke Passwörter. Es liegt in der Natur des Menschen, sich tendenziell eher für leicht zu merkende Passwörter, meist aus dem persönlichen Umfeld, zu entscheiden. Dadurch sind diese Passwörter leicht zu erraten und anfällig für Brute-Force- und Wörterbuchattacken. Durch die Durchsetzung von starken Passwörtern wird es für Hacker bedeutend schwerer, sich Zugang zu verschaffen. Wo immer es möglich ist, sollte zudem eine Zwei-Faktor-Authentifikation eingesetzt werden.

… mit Verfallsdatum. Mit ausreichend Rechnerleistung und Zeit können durch Brute Force selbst starke Passwörter geknackt werden. Indem man die Nutzer zwingt, ihre Passwörter regelmäßig zu ändern (und ihnen auch nicht erlaubt, ihre alten wiederzuverwenden), minimiert man die Zeit, die den Hackern zur Verfügung steht, um das Passwort zu ermitteln und es zu nutzen (falls es in seinem Besitz ist).

Schritt 3: Optimieren

Um die Komplexität von AD zu reduzieren, ist es sinnvoll, durch gezielte Optimierungsmaßnahmen das Management deutlich zu vereinfachen.

Rekursiv geschachtelte Gruppen. Rekursiv geschachtelte Gruppen sind bestenfalls lästig und verursachen im schlimmsten Fall Performance-Einbußen. Einige Anwendungen können in einer Endlosschleife stecken bleiben, wenn sie versuchen, die Mitglieder einer solchen Gruppe aufzuzählen. Das Entfernen geschachtelter Gruppen verbessert die allgemeine Leistungsfähigkeit Ihrer AD-Umgebung.

Doppelte SAM-Konten. Ein doppeltes SAM-Konto liegt vor, wenn der gleiche Vorname, Nachname und SamAccountName in Konten in mehreren Domänen erscheinen. Dies kann zu inkonsistenten Zugriffsbereitstellungen führen, weshalb man sie identifizieren und eliminieren sollte, um auf diese Weise einen reibungslosen Betrieb zu gewährleisten.

Abgelaufene Konten. Abgelaufene Konten sehen aus wie deaktivierte Benutzer, da sie deaktiviert werden, wenn das Ablaufdatum verstrichen ist. Problematisch wird es, wenn das Konto für einen automatisierten Prozess oder zum Ausführen einer Anwendung verwendet wird. Die Deaktivierung macht sich nämlich erst dann bemerkbar, wenn jemand über ein Problem stolpert oder eine Anwendung abstürzt. Zu wissen, welche Accounts abgelaufen sind und über bevorstehende Ausläufe informiert zu werden, hilft Unordnung in AD zu vermeiden und Serviceunterbrechungen vorzubeugen.

Veraltete Konten (stale accounts). Wurde ein Konto mehrere Monate lang nicht genutzt, ist es möglicherweise nicht mehr gültig. Die Löschung dieser Konten hat zwei Vorteile: Zum einen wird die Umgebung deutlich übersichtlicher, zum anderen reduziert sich die Angriffsfläche deutlich, da Hacker diese Konten nicht unbemerkt für ihre Zwecke nutzen können, um sich unbemerkt in den Systemen zu bewegen.

Konten mit ewigen Passwörtern. Wenn überhaupt, sollten nur ganz wenige Konten über Passwörter verfügen, die niemals ablaufen. Deshalb sollten diese Konten gefunden und neu konfiguriert werden, um ein Passwort zu erhalten, dass sich regelmäßig ändert.

Schritt 4: Überwachen und pflegen

Zusätzlich zur laufenden Überwachung und regelmäßigem Reporting, gibt es einige AD-Events, die eine sofortige Benachrichtigung erfordern.

Änderungen an GPOs. Änderungen an GPOs treten in den meisten Unternehmen nicht häufig auf, und wenn sie geändert werden, sollten sie von einem Änderungskontrollprozess verwaltet werden. Durch Benachrichtigung bei Änderungen an GPOs können diese mit einem Änderungskontrollprozess validiert, potenziell unerwünschtes Verhalten erkannt und im Falle eines Fehlers schnell wiederhergestellt werden.

Fehlgeschlagene Authentifizierung und Kontosperrung. Manchmal vergessen Nutzer ihre Passwörter oder tippen sie falsch ein, aber ein signifikanter Ausschlag in diesen Fällen könnte auf ernsthaftere Probleme hinweisen. Die Verfolgung von Authentifizierungsversuchen oder Kontosperrungen ermöglichen einen tieferen Einblick in die Gesundheit der Umgebung und können potenzielle Angreifer identifizieren, die versuchen, das Netzwerk zu gefährden oder ihre Rechte zu erweitern.

 „Fast jedes System integriert und authentifiziert Active Directory. Als eines der zentralsten und leistungsfähigsten Werkzeuge innerhalb eines Unternehmens erfordert AD jedoch sorgfältige Pflege.“

Thomas Ehrlich, Varonis

Zugangsanfragen. Versuchen Applikations-Servicekonten auf Nutzerlaufwerke oder sensible File Shares zuzugreifen? Dies könnte auf einen Angriff hindeuten oder auf einen Mitarbeiter, der sich dort aufhält, wo er nicht sein sollte. Durch die Überwachung und Alarmierung bei ungewöhnlichen Zugriffsereignissen können diese Risiken deutlich minimiert werden.

Änderungen bei privilegierten Gruppenzugehörigkeiten. AD ist der Schlüssel, auf den es Angreifer abgesehen haben. Durch sofortige Benachrichtigungen über Änderungen an privilegierten Gruppen können die Sicherheitsverantwortlichen die Änderungen überprüfen und gegebenenfalls unverzüglich entsprechende Maßnahmen ergreifen.

Auffällige Änderungen. Änderungen an AD-Objekten gehören für die IT zum Alltag: Benutzer kommen hinzu oder verlassen das Unternehmen, Mitarbeiter erhalten neue Computer, Menschen ändern ihren Namen. Durch die Analyse und Erstellung des normalen AD-Verhaltens lassen sich jedoch ungewöhnliche Änderungen und potenziell nicht autorisierter Zugriff erkennen.

Statistiken. Es gibt ein paar Schlüsselindikatoren, die dabei helfen, den „Gesundheitszustand“ von Active Directory zu verfolgen und Risikobereiche hervorzuheben. Nachdem sich durch die Erstellung der Ausgangsbasis AD in einem gesunden, „bekannten guten“ Zustand befindet, stellt die Überwachung dieser Leistungsindikatoren über einen längeren Zeitraum sicher, dass AD in diesem Zustand bleibt.

Grundsätzlich gilt: Die Gesamtzahl der AD-Benutzeränderungen sollte in etwa die Veränderung der Mitarbeiterzahl widerspiegeln.

Besondere Aufmerksamkeit sollte man zudem (Aufwärts-)Trends in diesen Bereichen schenken:

• Gesamtzahl der deaktivierten Konten
• Gesamtzahl der abgelaufenen Konten
• Gesamtzahl der Konten mit einem Kennwort, das nie abläuft
• Gesamtzahl der deaktivierten Konten
• Gesamtzahl der Konten mit letzter Anmeldung >3 Monate / >6 Monate
• Gesamtzahl der Konten, die noch nie angemeldet waren
• Doppelte SAM-Konten

Es gibt viele verschiedene Möglichkeiten, diese Daten zu sammeln – mit unterschiedlichem Aufwand und technischen Voraussetzungen. Eine der gebräuchlichsten ist die „Skript- und Tabellenkalkulationsmethode“, und es gibt einige interessante Ressourcen von Microsoft, die beim Schreiben von Skripten für Ad-hoc-Abfragen helfen können. Auf der SysInternals-Seite gibt es ein paar Tools, die auch von Fall zu Fall weiterhelfen können. Darüber hinaus gibt es zahlreiche Standardlösungen, mit denen die Verwaltung, Auditierung und Berichterstattung über AD erleichtert wird.

Fast jedes System integriert und authentifiziert Active Directory. Als eines der zentralsten und leistungsfähigsten Werkzeuge innerhalb eines Unternehmens erfordert AD jedoch sorgfältige Pflege. Die vier oben genannten Schritte können jedem Unternehmen dabei helfen, ein tieferes Verständnis seiner Active-Directory-Umgebung zu erlangen, die Komplexität zu kontrollieren, Abläufe zu rationalisieren, das Fehlerrisiko zu reduzieren und sich vor böswilligen Aktivitäten zu schützen.

Über den Autor:
Thomas Ehrlich ist Country Manager DACH bei Varonis.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!