Hilfreiche Tools für mehr Sicherheit im Active Directory

Mit kleinen Zusatz-Tools, die häufig kostenlos sind, können sich Admins die Überwachung und Analyse des Active Directory erleichtern. Hier eine Auswahl an hilfreichen Tools.

In Sachen Benutzerkonten ist in vielen Unternehmen das Active Directory der zentrale Ort, an dem viele wesentliche Informationen und Rechtevergaben zusammentreffen. Entsprechend können Fehler oder Nachlässigkeiten die Sicherheit der Organisation erheblich beeinträchtigen. Mit kleinen Tools können sich Admins die Arbeit erleichtern und etwaige Probleme entdecken. Viele der nachfolgend genannten Werkzeuge stehen kostenlos zum Download parat.

Inaktive Benutzer in Active Directory finden

Administratoren sollten regelmäßig überprüfen, welche Benutzer im Active Directory nicht mehr aktiv sind. Dazu kann auf dem Domänencontroller der Befehl dsquery user -inactive <Anzahl der Wochen> genutzt werden. In diesem Zusammenhang sollten Admins auch einen Blick auf die kostenlosen AD Admin Tools von Solarwinds werfen.

LDAP-Verbindungen analysieren

Mit AdInsight (Insight for Active Directory) lassen sich LDAP-Verbindungen eines Servers in Echtzeit analysieren. Das Tool zeigt den Netzwerkverkehr, alle Anfragen von Clients an den Domänencontroller an und Daten, die der Domänencontroller blockiert. Über das Menü kann der aktuellen Scan-Vorgang abgespeichert und nachträglich geändert werden. Mit File/Export to Text lässt sich die Ausgabe als Textdatei exportieren. Die verschiedenen Anzeigen lassen sich farblich hervorheben.

Anmeldungen im Netzwerk überwachen

Mit dem Befehlszeilen-Tool LogonSessions aus den Sysinternals werden alle angemeldeten Sitzungen auf einem Computer angezeigt. Wird der Befehl ohne Optionen eingegeben, reicht unter Umständen der Puffer der Eingabeaufforderung nicht aus, da zu viele Informationen enthalten sind. In diesem Fall wird die Option logonsessions | more verwendet.

Kennwörter zurücksetzen

Mit dem kostenlosen AD Account Reset Tool können Benutzerkonten entsperrt und Kennwörter zurückgesetzt werden. Administratoren können zusätzlich die Einstellungen für das Tool mit Gruppenrichtlinien verteilen. Die Entwickler bieten dazu eine ADM-Datei an.

Benutzerkonten in Active Directory mit Z-Hire und Z-Term anlegen und löschen

Mit Z-Hire und Z-Term lassen sich Benutzerkonten in Active Directory anlegen, verwalten und Zusatzattribute nutzen, zum Beispiel für Exchange und Office 365. Z-Hire steht im Microsoft TechNet zur Verfügung. Im Archiv von Z-Hire ist auch das Tool Z-Term zu finden.

Mit diesem können Benutzerkonten in Active Directory angepasst, aber auch gelöscht werden. In den Vorlagen der Tools können wiederkehrende Einstellungen gespeichert werden.

Mit Hilfe des Tools Z-Hire lassen sich Benutzerkonten im Active Directory anlegen.
Abbildung 1: Mit Hilfe des Tools Z-Hire lassen sich Benutzerkonten im Active Directory anlegen.

Seine Einstellungen speichert Z-Hire in der Datei Z-Hire.exe.config. Die Vorlagen sind in der Datei ZHi-reV5Settings.xml gespeichert. Der Name der Version wird bei neuen Versionen angepasst. Das heißt, nach der ersten Einrichtung kann Z-Hire auch auf mehreren Rechnern genutzt werden.

Active-Directory-Überwachung und mehr

Geht es um die Überwachung der Ereignisanzeigen und Berichten zu Active Directory, gibt es eine Reihe Tools, die bei der Analyse, Überwachung und Fehlerbehebung eine wertvolle Hilfe leisten:

EventSentry: Sammelt Ereignismeldungen verschiedener Server und kann wichtige Meldungen per E-Mail zustellen.

Freeware EventLog Inspector: Bietet eine Analyse der Ereignisanzeigen.

AD ACL-Scanner: Zeigt Berechtigungen der Administratoren im Active Directory an. Ein interessantes Tool zur Sicherheitsanalyse.

AD Info: Liest Informationen zum Active Directory aus und zeigt diese übersichtlich an.

AD-Inspector: Zeigt Informationen zum Active Directory an.

Lumax: Umfangreiches Tool für die Analyse vom Active Directory und dem Erstellen von Berichten.

José Active-Directory-Dokumentation: Eines der wichtigsten Tools, wenn es um die Berichterstellung vom Active Directory geht. Um den Bericht zu erstellen, reicht es aus, die Datei „standard-reports.bat“ aufzurufen.

Verwaltete Dienstkonten nutzen – Managed Service Accounts

Administratoren können ein verwaltetes Dienstkonto in Windows Server 2016/2019 für mehrere Server nutzen. Dazu hat Microsoft zu den verwalteten Dienstkonten (Managed Service Accounts, MSA) die gruppierten verwalteten Dienstkonten (Grouped Managed Service Accounts, gMSA) entwickelt.

Verwaltete Dienstkonten lassen sich in der PowerShell, aber auch per Freeware verwalten.
Abbildung 2: Verwaltete Dienstkonten lassen sich in der PowerShell, aber auch per Freeware verwalten.

Verwaltet werden können die verwalteten Dienstkonten in der PowerShell. Mit der Freeware Managed Service Accounts GUI kann man wesentlich einfacher verwaltete Dienstkonten in Windows Server 2016 angelegen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Best Practices für die Sicherheit im Active Directory

Per Tool Schwachstellen im Active Directory aufspüren

Active-Directory-Pflege: Alte Benutzerkonten und GPOs löschen

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

ComputerWeekly.de
Close