Active Directory-Sicherheit
Absicherung von AD und Gewährleistung von Compliance – Best Practices Active Directory-Sicherheit wird oftmals als eine Überwachungsmethode für die Schlüssel zu Ihrem IT-Schloss beschrieben. Diese Metapher ist nicht ganz aus der Luft gegriffen, deckt aber nicht alle Aspekte ab, die zu berücksichtigen sind. Active Directory fungiert zwar als Pförtner, der bestimmt, wer über welche Schlüssel für den Zugriff auf Ihr Netzwerk verfügt und welche Daten und anderen Ressourcen mit diesen Schlüsseln zugänglich sind. Doch anders als ein Steinbau ist Ihre IT-Umgebung ein sehr dynamischer Ort mit ständig wechselnden Benutzern, Mitarbeitern, die neue Rollen übernehmen, neuen Anwendungen, die hinzugefügt werden, anderen Anwendungen, die entfernt werden usw. Daher ist die Active Directory-Sicherheit auch nichts, was nur einmal eingerichtet werden muss und anschließend dauerhafte Sicherheit bietet. Sie funktioniert nicht wie das einmalige Austauschen der Schlösser, sondern ist vielmehr ein fortlaufender Prozess.
Lesen Sie weiter und entdecken Sie weitere Tipps zum Absichern Ihres Active Directory.
03:01
Der aktuelle Stand der AD-Sicherheit
Was ist Active Directory-Sicherheit?
Was AD-Sicherheit bedeutet
Die Active Directory-Sicherheit ist ein heikler Balanceakt. Wenn wir bei der Schlossmetapher bleiben: Ein König oder eine Königin können ihren Untertanen nach Belieben Sicherheitsmaßnahmen vorschreiben. IT-Experten müssen aber die Geschäftsanforderungen genau im Blick behalten. Wenn Sicherheitsmaßnahmen zu beschwerlich sind, werden wichtige Geschäftsprozesse verlangsamt und talentierte Mitarbeiter ergreifen die Flucht. Es ist beispielsweise wichtig, sicherzustellen, dass nur die richtigen Personen Zugriff auf die medizinischen Daten anderer haben – genauso wichtig ist es aber, dafür zu sorgen, dass medizinisches Personal die Diagnosen und Verschreibungen eines Patienten schnell genug sehen kann, um ihn richtig zu behandeln. Außerdem finden Benutzer Wege, um übermäßig lästige Sicherheitsmaßnahmen zu umgehen. Wenn Sie ihnen z. B. vorschreiben, komplexe Kennwörter zu erstellen, die alle 30 Tage geändert werden müssen, werden Sie sehr schnell Haftnotizen auf den Schreibtischen finden, was Ihr Ziel untergräbt, die Konten der Benutzer vor unbefugtem Zugriff zu schützen.
Sicherheit vs. Compliance
Es ist wichtig, sich bewusst zu machen, dass Active Directory-Sicherheit zwar in engem Zusammenhang mit der Compliance steht, es sich dabei aber um zwei unterschiedliche Dinge handelt. Viele Compliance-Bestimmungen umfassen Anforderungen, die sich direkt auf AD-Sicherheitsrichtlinien und Verfahren auswirken. Diese Vorgaben betreffen aber oft auch viele andere Bereiche, z. B. den physischen Zugang zu Bürogebäuden, die Schulung von Mitarbeitern und Verantwortlichkeiten von Führungskräften. Andererseits beinhaltet umfassende AD-Sicherheit weitaus mehr als das Erreichen von Compliance mit einer oder mehreren Bestimmungen.
AD-Sicherheit ist ein wesentlicher Bestandteil vieler
Compliance-Bestimmungen wie DSGVO,
CCPA, HIPAA, SOX und PCI-DSS. Unzureichende Active Directory-Sicherheit kann
zahlreiche unangenehme Folgen haben, z. B. hohe Bußgelder von
Aufsichtsbehörden, Haftstrafen für Führungskräfte, die
Unfähigkeit, Kreditkartentransaktionen zu verarbeiten, und die
Beeinträchtigung des Kundenvertrauens.
Die entscheidende Rolle der Sicherheit
Was sind die häufigsten Active Directory-Sicherheitsrisiken?
Active Directory-Sicherheitsrisiken ergeben sich hauptsächlich bei fehlenden Einblicken in beziehungsweise mangelnder Kontrolle über drei wichtige Faktoren:
- Wer gelangt in Ihr Netzwerk?
- Was darf die betreffende Person dort tun?
- Und welche Aktivitäten finden dort tatsächlich statt?
Einige dieser Risiken haben eigene Bezeichnungen, wie Insider-Bedrohungen, Spear-Phishing, Rechteausweitung und Lateral Movement. Die beste Methode zum Mindern von AD-Sicherheitsrisiken besteht jedoch nicht darin, jedes Risiko einzeln anzugehen. Durch diesen Ansatz erhöhen sich nur die Kosten und die IT-Systemkomplexität, wodurch das Problem nicht gelöst, sondern noch verschlimmert wird.
Die beste Strategie besteht vielmehr darin, Ihr Active Directory zu bereinigen und sich klare Einblicke in die Aktivitäten in der gesamten IT-Umgebung zu verschaffen. Die in Active Directory integrierten Tools bieten nur einen Bruchteil der benötigten Funktionen und ihre Nutzung ist sehr zeitaufwendig. Daher empfiehlt es sich, in umfassende Lösungen zu investieren, welche die für Active Directory-Sicherheit erforderlichen Kernprozesse automatisieren und vereinfachen.
Best Practices für Active Directory Sicherheit
Active Directory gibt es schon lange. Daher sind auch ohne Weiteres Best Practices verfügbar, die die AD-Sicherheit und -Compliance erwiesenermaßen deutlich verbessern. Durch die Implementierung der folgenden Best Practices können Sie die Risiken für Ihre IT-Daten und Systeme minimieren und den Erfolg Ihres Unternehmens langfristig absichern.
1. Regelmäßige Überprüfungen
Eine der wichtigsten Best Practices für AD-Sicherheit ist die
regelmäßige Überprüfung des Zustands Ihrer IT-Umgebung
und die proaktive Suche nach potenziellen Sicherheits- und
Compliance-Problemen.
Vergleichen Sie regelmäßig die
Konfigurationseinstellungen auf Ihren Windows-Endpunkten,
Domänencontrollern und anderen IT-Systemen mit einem nachweislich
einwandfreien Zustand und korrigieren Sie jegliche unbeabsichtigten
Abweichungen oder böswilligen Änderungen umgehend.
Überprüfen
Sie außerdem regelmäßig die Gruppenrichtlinie, die zur
Anwendung von Standardeinstellungen für mehrere Benutzer und Computer
verwendet wird. Die Gruppenrichtlinie steuert diverse Aktivitäten und Sie
können damit beispielsweise verhindern, dass Benutzer auf die
Systemsteuerung zugreifen, die Eingabeaufforderung nutzen oder Software
installieren. Schon eine nicht ordnungsgemäße Änderung an
einem Gruppenrichtlinienobjekt
(GPO) kann erhebliche Schäden verursachen. Benutzer könnten
beispielsweise plötzlich in der Lage sein, USB-Laufwerke
anzuschließen und damit Ihre Systeme Ransomware oder anderer Malware
aussetzen. Stellen Sie daher sicher, dass Ihre GPOs wie beabsichtigt
funktionieren und Sie imstande sind, unangemessene oder nicht autorisierte
Änderungen daran schnell zu erkennen und zu korrigieren.
Sie sollten
auch dafür sorgen, dass Ihre Windows
Server-Betriebssysteme und sonstige Software in puncto Patches auf dem
neuesten Stand sind und dass Sie nur Versionen verwenden, die von Anbietern
vollständig unterstützt werden.
2. Minimierung von Benutzerberechtigungen
Die wahrscheinlich wichtigste Best Practice für die IT-Sicherheit ist
das Least-Privilege-Prinzip. Gewähren Sie jedem Benutzer genau den
Zugriff, den er für seine Aufgaben benötigt – nicht mehr
und nicht weniger. AD ermöglicht es Ihnen, Benutzer mit ähnlichen
Rollen (z. B. alle Helpdesk-Admins oder alle HR-Mitarbeiter) in einer
AD-Sicherheitsgruppe zusammenzufassen und sie gebündelt zu verwalten.
Benutzer können mehreren AD-Gruppen angehören (das ist in der Regel
auch der Fall), beispielsweise projektbasierten Gruppen.
Die Verwendung
von AD-Sicherheitsgruppen ist nicht nur praktisch für Administratoren,
sondern erhöht auch die Sicherheit durch die Reduzierung von Fehlern bei
der Provisionierung und der Deprovisionierung. Zudem verringert sie die
Komplexität der Berechtigungsstruktur, sodass zuverlässiger
ermittelt werden kann, welche Benutzer worauf Zugriff haben.
3. Untersuchung von Sicherheitsvorfällen
Ganz gleich, wie viel Mühe Sie sich mit der Prävention geben, es werden Cybersicherheitsereignisse auftreten. Sie müssen also imstande sein, sie schnell zu untersuchen und angemessen darauf zu reagieren. Sie müssen schnell feststellen können, wo die Sicherheitsverletzung entstanden ist, wie sie sich entwickelt hat und welche Systeme und Daten genau betroffen sind. Auf diese Weise können Sie einzelne Personen zur Verantwortung ziehen und Maßnahmen ergreifen, um zu verhindern, dass Ähnliches in Zukunft wieder passiert.
4. Verwaltung von Benutzer- und Gruppenberechtigungen
Wie bereits erwähnt, ist das Least-Privilege-Prinzip die wichtigste
Best Practice für IT-Sicherheit. Wenn Sie jedem Benutzer manuell
Berechtigungen für die einzelnen Ressourcen zuweisen und diese
Berechtigungen bei wechselnden Benutzern und Rollen im Unternehmen auf dem
aktuellen Stand halten müssten, wären Sie überfordert. Zudem
wäre Ihr Unternehmen einem hohen Risiko ausgesetzt, was
Datensicherheitsverletzungen und Compliance-Verstöße angeht.
Durch
die Möglichkeit, AD-Sicherheitsgruppen zu erstellen und Berechtigungen
für ähnliche Benutzer zusammen zu verwalten, wird diese Last
reduziert. In der Regel können Benutzer mehreren AD-Gruppen
angehören, beispielsweise projektbasierten Gruppen. Einem neuen
Vertriebsmanager kann beispielsweise Zugriff auf alle erforderlichen
Ressourcen gewährt werden, indem er der Sicherheitsgruppe
„Vertrieb“ und der Sicherheitsgruppe
„Vertriebsmanager“ hinzugefügt wird. Wenn es neue Ordner oder
Dateifreigaben gibt, auf die alle Vertriebsmitarbeiter Zugriff haben
müssen, können Sie der ganzen Gruppe „Vertrieb“ Zugriff
darauf gewähren, anstatt jedem einzelnen Benutzerkonto. Das funktioniert
auch umgekehrt: Wenn ein Benutzer von einer Vertriebsrolle in eine andere
Position wechselt, können Sie ihm den Zugriff auf alle
Vertriebsressourcen schnell entziehen, indem Sie ihn aus der Gruppe
„Vertrieb“ entfernen. So müssen Sie nicht akribisch
sämtliche Ressourcen durchgehen, für die der Benutzer Berechtigungen
hat, und ermitteln, ob der Zugriff noch legitim ist.
5. Überwachung von Administratorberechtigungen
Die Verwendung von AD-Sicherheitsgruppen ist nicht nur praktisch für
Administratoren, sondern erhöht auch die Sicherheit durch die Reduzierung
von Fehlern bei der Provisionierung und der Deprovisionierung. Zudem
verringert sie die Komplexität der Berechtigungsstruktur, sodass
zuverlässiger ermittelt werden kann, welche Benutzer worauf Zugriff
haben.
Besonders wichtig sind AD-Sicherheitsgruppen, mit denen
Administratorberechtigungen gewährt werden, z. B. die über
umfangreiche Berechtigungen verfügenden Gruppen der Unternehmens-,
Domänen- und Schemaadministratoren. Dazu gehört auch das lokale
Administratorkonto, das bei der Installation von Windows erstellt wird und
umfassende Kontrolle über die Dateien, Verzeichnisse, Services und
anderen Ressourcen auf dem lokalen Computer hat. Unternehmen müssen genau
überwachen, wer zu diesen Gruppen mit privilegiertem Zugriff gehört
und mitgliedschaftsbezogene Änderungen genau im Auge behalten. Denn das
könnte auf einen Angreifer oder böswilligen Insider hindeuten, der
versucht, seine Berechtigungen auszuweiten, um Zugriff auf weitere Systeme
oder Daten zu erhalten.
6. Dienstkontoberechtigungen
Dienstkonten sind spezielle Benutzerkonten, die Anwendungen und Services nutzen, um sich anzumelden und Aktionen in Ihrer IT-Umgebung auszuführen. Leider verfügen Dienstkonten oft über mehr Berechtigungen als eigentlich erforderlich, wodurch noch mehr Sicherheitsrisiken entstehen. Zu den häufigen Gründen für eine übermäßige Provisionierung gehört die widerspruchslose Annahme der vom Anwendungsanbieter vorgegebenen Anforderungen, fehlende Sorgfalt bei der Bewältigung betrieblicher Herausforderungen und das einfache Klonen vorhandener Services. Denn niemand nimmt sich die Zeit, neue Services mit den richtigen Berechtigungen zu erstellen.
Sie sollten daher am besten sicherstellen, dass für alle Dienstkonten
das Least-Privilege-Prinzip Anwendung findet. Sie müssen auch besondere
Vorsichtsmaßnahmen ergreifen, wenn ein Dienstkonto
Administratorberechtigungen benötigt. Ein Dienstkonto sollte niemals in
eine Standard-Administratorgruppe aufgenommen werden, z. B. in die Gruppe
der lokalen Administratoren oder der Domänenadministratoren. Bessere
Methoden sind das Ausführen des Service unter dem LocalSystem-Konto oder
die Erstellung einer benutzerdefinierten Gruppe für das Dienstkonto und
das explizite Verweigern des Zugriffs auf andere Konten für diese Gruppe.
Außerdem ist es ratsam, Dienstkonten nach Möglichkeit so zu
konfigurieren, dass sie sich nur während eines bestimmten Zeitraums am
Tag anmelden können.