Best Practices: Active Directory Security

Mit mehreren Konten zur Verwaltung arbeiten

Grundsätzlich sollten Administratoren mit verschiedenen Konten arbeiten. So ist für die persönliche Arbeit mit dem Netzwerk am besten ein dediziertes Konto zu verwenden. Die Verwaltung der Serverdienste sollte ebenfalls mit angepassten Administrator-Konten erfolgen.

Konten, die über umfassende Berechtigungen verfügen, sollten möglichst wenig genutzt werden. Microsoft unterstützt hier bereits Administratoren mit vorgegebenen Konten, die zum Beispiel nur dazu berechtigt sind, DNS oder DHCP zu verwalten. Diese Technik sollten Unternehmen auch auf andere Serverdienste ausdehnen.

Außerdem sollte in Unternehmen mit verschiedenen Anmeldenamen gearbeitet werden, aus denen nicht auf andere Anmeldekonten geschlossen werden kann. Für diese verschiedenen Anmeldekonten der Administratoren sind selbstverständlich auch verschiedene Passwörter zu verwenden. Für kein administratives Konto sollte das gleiche Kennwort gelten wie für ein anderes.

Arbeitsstationen zur Verwaltung besser absichern

Die Arbeitsstationen, mit denen Administratoren die Umgebung verwalten, gilt es besonders zu sichern. Dazu gehören Tools für die Verbesserung der Sicherheit genauso wie besondere Sicherheitseinstellungen, die zum Beispiel das Zwischenspeichern von Anmeldedaten verhindern. Über Gruppenrichtlinien lässt sich an dieser Stelle einiges erreichen.

Wird eine solche Arbeitsstation mit Malware verseucht, kann ein Angreifer schnell und einfach die ganze Umgebung übernehmen, da die Anmeldedaten des Administrators gespeichert oder abgreifbar sind. Auch wenn die Anmeldung am PC in diesem Fall mit einem anderen Konto erfolgt, kann ein Angreifer mit der „Als Administrator starten“-Funktion von Apps auch auf Verwaltungsprogramme der Domäne zugreifen. Für die Verwaltung einer Umgebung sollten daher andere PCs verwendet werden als für die tägliche Arbeit.

Keinerlei Internetverbindungen mit privilegierten Konten

Wenn ein Administrator mit einem privilegierten Konto an einer Verwaltungsarbeitsstation angemeldet ist, verbieten sich Internetverbindungen oder gar Browsersitzungen zum Internet.

Erfolgt ein Zugriff auf eine verseuchte Webseite, kann der Angreifer Administrator-Berechtigungen für den lokalen Rechner und das ganze Active Directory erhalten.

Angriffsfläche des Active Directory reduzieren

Um erfolgreiche Angriffe auf ein Active Directory zu verhindern, sollten Administratoren die Angriffsfläche von Active Directory deutlich reduzieren. In einer optimalen Umgebung wird dazu mit einem Admin-auf-Zeit-Prinzip gearbeitet. Ein Benutzerkonto erhält nur eine gewisse Zeit administrative Rechte auf einen bestimmten Server oder eine vorher definierte Umgebung. Ist die Zeit abgelaufen, darf kein Zugriff mehr erfolgen.

Benutzerkonten, die das Recht haben, eine Domäne oder Gesamtstruktur zu verwalten, sollten möglichst keine weiteren Rechte erhalten, um zum Beispiel auch andere Domänen oder eine weitere Gesamtstruktur zu verwalten. Generell sollten Administrator-Konten nur die minimalen Berechtigungen erhalten, die zur Verwaltung einer bestimmten Funktion in Active Directory notwendig sind. Verfügt ein Konto über mehr Rechte als notwendig, besteht die Gefahr, dass bei einem erfolgreichen Angriff nicht nur der einzelne Serverdienst beeinträchtigt werden kann, sondern auch andere Dienste.

Multifaktor-Authentifizierung

Administratoren sollten für privilegierte Konten mit Multifaktor-Authentifizierung arbeiten. Konten, die über umfassende Rechte in der Umgebung verfügen, sollten nicht einfach mit einem Kennwort nutzbar sein, sondern idealerweise durch weitere Anmeldetechniken geschützt werden. Sinnvoll ist zum Beispiel noch die Anmeldung mit Smartcards.

Domänen-Controller absichern – Security Compliance Manager

Die Domänen-Controller lassen sich ebenfalls vor Angriffen schützen. Es kann zum Beispiel sinnvoll sein, Domänen-Controller zu virtualisieren. Dadurch ist die Gefahr, dass die Server gestohlen werden, etwas geringer. Außerdem sollten Unternehmen möglichst mit schreibgeschützten Domänen-Controllern arbeiten, wenn die Server nicht in einem gesicherten Rechenzentrum positioniert sind.

Microsoft bietet den kostenlosen Security Compliance Manager (SCM) an. Dieser erlaubt über Assistenten eine besonders sichere Absicherung von Serverdiensten über Gruppenrichtlinien. Der SCM steht kostenlos zur Verfügung, und kann schnell und einfach optimale Vorlagen für Gruppenrichtlinien erstellen, um das Active Directory abzusichern.

Domänen-Controller sollten per WSUS möglichst auf dem aktuellsten Stand gehalten werden. Außerdem empfiehlt es sich, dass Domänen-Controller nicht an das Internet angebunden sind. Aktualisieren Unternehmen ihre Server, bietet es sich an, mit den Domänen-Controllern zu beginnen. Denn Domänencontroller mit Windows Server 2016 sind wesentlich sicherer, als Domänen-Controller mit Windows Server 2008 R2.

Generell ist es auch sinnvoll, mit einer internen Firewall zu arbeiten, und Domänen-Controller nicht umfassend im internen Netzwerk verfügbar und erreichbar zu machen.

Das Active Directory überwachen

Auch wenn ein Netzwerk sicher konfiguriert ist, sollten Administratoren vor allem das Active Directory effizient überwachen. Hier können Tools wie Netwrix Auditor helfen, da sie die Berechtigungen und Abläufe in Active Directory im Überblick behalten können. Dazu bietet Netwrix Auditor über 200 vordefinierte Berichte. Diese lassen sich natürlich ergänzen und mit eigenen Berichten erweitern. Dazu gehören zum Beispiel auch State-in-Time-Berichte.

Netwrix Auditor kann unter anderem folgende Produkte überwachen: Windows Server, Active Directory, Exchange, Dateiserver, SharePoint und SQL Server. Wichtig ist zum Beispiel der Bericht „Administrative Group Membership Changes“. Er zeigt Änderungen in der Mitgliedschaft der Administrator-Gruppen in Active Directory an.

Microsoft veröffentlicht im TechNet ausführliche Anleitungen, um das Active Directory möglichst sicher zu gestalten.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!