Allgemein

Active Directory Security

In vielen Unternehmen gilt Active Directory als zentrales Element für die Authentifizierung. Domänencontroller, Admin-Konto und privilegierte Accounts sind daher ein beliebtes Ziel von Angreifern. Wer verhindern möchte, dass der Verzeichnisdienst kompromittiert wird, sollte ein besonderes Augenmerk auf den Schutz der genannten Systeme und Konten legen.

Wie lässt sich eine sichere Active Directory Umgebung erreichen?

Administratorenkonten und Konten mit privilegierten Nutzungsrechten stehen häufig im Fokus von Hackern und Cyberkriminellen. Diese dringen meist über einen einzelnen Endpunkt in das Netzwerk ein, der beispielsweise in einem unsicheren PC oder Server bestehen kann. Haben Angreifer ein System kompromittiert, beginnt die Suche nach möglichst vielen Informationen. Diese ebnen den Weg, um das infiltrierte Netzwerk weiter auszuspähen oder weitere Angriffe durchzuführen.

Besonders interessant sind dabei Konten, die privilegierte Rechte besitzen und beispielsweise Benutzerkennwörter ändern dürfen. Über diese Konten gelingt es Angreifern, weitere Zugänge in das System zu erschließen. Im Zusammenspiel mit einem veralteten Verschlüsselungsalgorithmus, welcher in der Regel zum Einsatz kommt, kann der Verzeichnisdienst aus der Perspektive eines Benutzers im Handumdrehen übernommen werden. Mit einigen Tipps lässt sich die Sicherheit der Umgebung allerdings erhöhen und ein Angriff auf die Systeme wird schwieriger.

Tipp 1: Administratorenkonten umsichtig einsetzen

In der Active Directory Umgebung sollten Sie Admin-Konten nur sehr umsichtig einsetzen. Es empfiehlt sich, für verschiedene Serveranwendungen auch unterschiedliche Administratorenkonten einzusetzen. So reduzieren Sie die Gefahr, dass bei einem Angriff auf das Admin-Konto auch alle anderen Serverdienste in Gefahr geraten. Windows-Server bieten zu diesem Zweck verschiedene Benutzergruppen an. Diese sind standardmäßig verfügbar und sollten in jedem Fall genutzt werden.

Tipp 2: Keine unnötigen Anmeldungen mit Administratorenkonten

Für sichere Active Directory Umgebungen ist es sinnvoll, nur begrenzt mit privilegierten Konten zu arbeiten. Eine Anmeldung sollte stets nur mit dem Admin-Konto erfolgen, das dem jeweiligen Serverdienst zugeordnet ist.

Haben Sie den Verdacht, dass eine Arbeitsstation unsicher oder kompromittiert ist, melden Sie sich keinesfalls mit dem Administratorenkonto am System an. Grundsätzlich können Sie das Risiko für einen unbefugten Zugriff auf das Admin-Konto reduzieren, wenn Sie es nur an Rechnern ohne Internetverbindung nutzen.

Tipp 3: Multifaktor-Anmeldung und Admin-auf-Zeit-Konten

Für Administratoren-Konten empfiehlt es sich, eine Multifaktor-Authentifizierung, kurz MFA, einzusetzen. Diese nutzt eine Kombination aus zwei oder mehr Berechtigungshinweisen, um die Identität zu prüfen. Während sich die Sicherheit des Anmeldeverfahrens durch MFA deutlich erhöhen lässt, fällt der Identitätsdiebstahl gleichzeitig schwerer.

Zusätzlich lässt sich die AD Security verbessern, indem Sie Admin-Konten einsetzen, die das Recht für eine spezielle Verwaltungsaufgabe nur für eine gewisse Zeit erhalten. Sobald die Aufgabe abgeschlossen oder die Zeit abgelaufen ist, werden die Rechte automatisch wieder entzogen.

Tipp 4: Schreibgeschützte Domänencontroller für unsichere Standorte

Befinden sich Domänencontroller in einer unsicheren Umgebung, beispielsweise außerhalb von sicheren Serverräumen, bietet sich immer eine schreibgeschützte Version an. Diese erhalten die replizierten Informationen der „normalen“ Domänencontroller, nehmen selbst jedoch keine Änderungen von Administratoren entgegen. So können schreibgeschützte Domänencontroller Informationen nur auslesen und werden auch als Read-only Domain Controller (RODC) bezeichnet.

Tipp 5: Managed Service Accounts

Managed Service Accounts, kurz MSA, sind Dienstkonten, wie einem oder mehreren Systemen zugeordnet werden, deren Kennwörter sich in der Regel aber alle 30 Tage ändern. Bei MSA kommen immer Kennwörter mit einer Länge mit 120 Zeichen zum Einsatz. Wird ein Dienstkonto für eine System verwendet, kann man ein MSA verwenden, wenn man jedoch ein Dienstkonto für mehrere Systeme verwenden möchte, müssen group Managed Service Accounts (gMSA) verwendet werden.

Previous ArticleNext Article

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert