Active Directory: So sichern Sie Ihre IT-Infrastruktur

Active Directory (AD) ist für die Authentifizierung und Autorisierung von Ressourcen in der gesamten Organisation der IT-Infrastrktur verantwortlich. Nicht selten wird ein lokales AD in Verbindung mit Azure AD zur Authentifizierung für Microsoft 365 und auch viele andere Cloud-Dienste genutzt. Als wichtige Komponente der Infrastruktur ist das AD daher jedoch auch ein attraktives Ziel für Cyberkriminelle. Microsoft selbst gibt an, dass täglich rund 95 Millionen der insgesamt 500 Millionen aktiven AD-Konten angegriffen werden. Angesichts dieses Befunds sollten IT-Security-Verantwortliche sich nicht allein auf die Effektivität ihrer spezifischen Security-Tools verlassen. Vielmehr sollten sie die Gesundheit des AD gewährleisten, indem sie regelmäßig eine Reihe von Kontrollen durchführen. Dieser Artikel liefert daher einen Leitfaden der wichtigsten Maßnahmen.

Inaktive Benutzerkonten sind nicht nur ein Problem der AD-Verwaltung, sondern können ein ernsthaftes Sicherheitsrisiko für das ganze Unternehmen darstellen. Diese betroffenen Konten gehören nicht selten zu Personen, die das Unternehmen verlassen haben und keinen Zugriff mehr auf dessen Systeme oder Daten haben sollten. Sie öffnen Missbrauch Tür und Tor, nicht nur durch die ehemaligen Mitarbeiter. Solche Accounts wecken vielmehr Begehrlichkeiten bei Angreifern von außen ebenso wie bei Insidern, z.B. unzufriedene Mitarbeiter, die das Konto nutzen könnten, um Daten zu stehlen, Systeme zu beschädigen, E-Mails zu versenden, die den Ruf Ihres Unternehmens schädigen könnten, und vieles mehr. Weil der eigentliche Besitzer des Kontos es nicht mehr nutzt, können diese Aktivitäten lange Zeit unbemerkt bleiben.

Auch ohne tatsächlichen Missbrauch besteht das Risiko, dass ungenutzte Konten ein Unternehmen in beträchtliche Schwierigkeiten bringen. So verlangen Compliance-Vorschriften häufig, dass veraltete Benutzerkonten sorgfältig überwacht und verwaltet werden. Wird dies nicht beachtet, kann dies zu fehlgeschlagenen Audits, Geldbußen und anderen Strafen führen. Auch darum sollte das AD regelmäßig (wenigstens monatlich) auf ungenutzte Konten kontrolliert werden. Die Verantwortlichen sollten eine Liste aller Konten führen, mit den Kontonamen, der letzte Anmeldezeit, der Anzahl der Anmeldungen und dem Kontostatus (aktiv, gesperrt, deaktiviert etc.). Zeigen sich hier Anhaltspunkte für ein inaktives Konto, kann der Verantwortliche nach Rücksprache mit dem Manager des Nutzers das Konto deaktivieren oder löschen.

Konten mit abgelaufenem Passwort sind vielleicht noch nicht lange genug inaktiv, um in Kontrolle Nummer 1 aufzufallen, können aber dennoch ein Sicherheitsrisiko darstellen. Der Verantwortliche sollte im Fall eines abgelaufenen Passworts kontrollieren, ob der Benutzer beispielsweise nur im Urlaub oder erkrankt ist bzw. ob das Konto tatsächlich nicht mehr verwendet wird und deaktiviert oder gelöscht werden sollte.

Angreifer versuchen häufig, erhöhte Privilegien zu erlangen, um auf möglichst viele Systeme und Daten zugreifen zu können. Darum sollten die Mitgliederkonten privilegierter Gruppen besonders gut im Auge behalten werden. Der IT-Security-Verantwortliche sollte jederzeit alle Mitglieder jeder privilegierten Gruppe und deren letzte Anmeldezeit erkennen können. Das gilt auch für verschachtelte Gruppen. Dabei muss auch Ausschau gehalten werden nach Mitgliedern, die sich schon lange nicht mehr angemeldet haben und vielleicht aus der Gruppe entfernt werden sollten. Gleiches gilt für Benutzer, die sich nie angemeldet haben und daher möglicherweise keine erhöhten Rechte benötigen.

Da Dienste, die nicht über ein Systemkonto ausgeführt werden, in der Regel erhöhte Berechtigungen erfordern, müssen sie sorgfältig überwacht und verwaltet werden, ähnlich wie privilegierte Nutzer. Die IT-Security-Verantwortlichen sollten jederzeit Zugriff auf detaillierte Informationen über alle Dienste haben, sodass sie sicherstellen können, dass die Konten richtig eingerichtet sind. Für privilegierte Dienste sollte beispielsweise gelten, dass die entsprechenden Passwörter lang und komplex sind und regelmäßig geändert werden.

Auf jedem Domänencontroller (DC) in einer Organisation sollte nur die Software laufen, die für den Betrieb notwendig ist, z. B. DNS. Überflüssiger Code, der auf einem DC läuft, führt zu unnötigen Risiken für die Active-Directory-Umgebung. Darum sollte regelmäßig kontrolliert werden, ob sich möglicherweise nicht notwendige Software auf den DC eines Unternehmens versteckt.

Ungepatchte Systeme sind ein häufiges Angriffsziel für Hacker. Darum sollten alle IT-Systeme stets auf den neuesten Stand gebracht werden. Um dies zu bewerkstelligen, benötigen die Verantwortlichen eine stets aktuelle Übersicht sämtlicher Systeme und der Hotfixes, die auf ihnen installiert sind.

Die Sicherheitseinstellungen auf Servern und DC steuern alles, von Administrator- und Gastprivilegien bis hin zu Audits und der Verwendung von Wechselmedien. Darum gilt es, diese Sicherheitseinstellungen regelmäßig zu überprüfen und gegebenenfalls anzupassen.

Durch die Zugehörigkeit zu einer lokalen Gruppe erhält ein Benutzer das Recht, verschiedene Aufgaben auf dem lokalen Computer durchzuführen. Die Zugehörigkeit zu einer lokalen Administratorengruppe gibt einem Benutzer administrative Rechte auf dem System. Daher ist es wichtig, die Mitgliedschaft in allen lokalen Gruppen, insbesondere der Administratorengruppen, zu überwachen. Die Verantwortlichen müssen daher sicherstellen, dass jede Gruppe lediglich die berechtigten Mitglieder enthält. Hierdurch wird die Sicherheit abermals erhöht.

Ein entscheidendes Element der Unternehmenssicherheit ist die Einführung und Aufrechterhaltung eines Zugriffsmodells mit geringstmöglichen Rechten: Jeder Nutzer sollte genau die Berechtigungen besitzen, die er für seine Arbeit benötigt – mehr jedoch nicht. Darum gilt es, die AD-Berechtigungen jedes Nutzers und Administrators genau zu kontrollieren. Dabei ist insbesondere auf vererbte Berechtigungen zu achten, die häufig auf zu hohe Privilegien des entsprechenden Kontoinhabers hinweisen.

Die Überwachung von Ordnerberechtigungen ist unerlässlich, um den unberechtigten Zugriff auf sensible Informationen bzw. Datendiebstahl zu unterbinden. Daher sind die NTFS-Berechtigungen der Nutzer und Gruppen regelmäßig zu überprüfen, um die Sicherheit zu steigern und die gesetzlichen Anforderungen zu erfüllen.

Die aufgeführten Kontrollen sind zweifelsohne nötig, um die Sicherheit der Active Directory-Umgebung in einem Unternehmen zu gewährleisten. Im Alltag scheitert die Umsetzung jedoch häufig am Zeitmangel des IT-Teams. Sofern es sich nicht um sehr kleine IT-Infrastrukturen handelt, ist daher unbedingt eine Automation mit geeigneten Tools erforderlich. Denn nur so lassen sich die erforderlichen Kontrollen automatisch durchführen und entsprechende Berichte erstellen, wodurch die Security-Teams in erheblichem Maße entlastet werden können.

Autor: Bert Skorupski, Senior Manager Sales Engineering bei Quest Software