•  

Wie Unternehmen typische Active Directory-Fehler vermeiden können

Jürgen Venhorst, Country Manager DACH bei Netwrix

Active Directory (AD) bietet viele leistungsfähige Funktionen, um Windows-Server, Benutzerrollen und Zugriffsrechte zu verwalten. Leider sind die Wartung und Verwaltung nicht immer transparent. Dies kann leicht zu ungenauen Einstellungen im System führen, die ein Unternehmen anfällig für Angriffe macht. Die Einstellungen, Compliance- und Strategiepläne im AD müssen daher kritisch betrachtet und regelmäßig überprüft werden, um die häufigsten Fehler zu vermeiden.

Fehler #1: Für tägliche Aufgaben das Admin-Konto nutzen

Konten mit privilegierten Zugriffsrechten werden regelmäßig verwendet, da hiermit Routineaufgaben bequem und effizient erledigt werden können, ohne sich ständig an- und abmelden zu müssen. Für die normale Anmeldung ist es jedoch immer besser, die Konten für den Domänenadministrator oder sogar die lokalen Domänenkonten nicht zu verwenden, wenn die zugehörigen Berechtigungen nicht erforderlich sind. Für die regelmäßige Anmeldung an einem Gerät sollte immer ein einfaches Konto mit eingeschränkten Rechten verwendet werden, um Sicherheitsverletzungen zu vermeiden. Spear-Phishing oder Malware-Injektionen sind die bevorzugten Techniken, die Angreifer verwenden, um Benutzerdaten zu erhalten oder anderweitig Schaden zu verursachen, wenn der Benutzer angemeldet ist. Je mehr Rechte mit einem kompromittierten Account verbunden sind, desto mehr Zugriffsmöglichkeiten hat der Angreifer auf das Konto.

Fehler #2: Verzicht auf Zugangsdelegation

Das Fehlen einer geeigneten Zugriffsdelegation bezüglich der Adminkonten hat ein Risiko zur Folge und sollte daher bei der AD-Sicherheit immer für sehr allgemeine Verwaltungsaufgaben, wie z.B. das Entsperren von Konten oder das Zurücksetzen von Passwörtern, priorisiert werden. Hierbei erhalten die Benutzer nach dem Grundsatz des Least Privilege-Prinzips nur so viele Zugriffsrechte, wie sie für ihre Arbeit benötigen. Jedes Unternehmen sollte seine Prozesse sorgfältig bewerten und danach entscheiden, wo Automatisierung und Delegation sinnvoll sind. So können beispielsweise Berechtigungen zum Zurücksetzen von Passwörtern, zum Verbinden eines Computers mit der Domäne oder zum Ändern bestimmter Sicherheitsgruppen der Helpdesk-Rolle zugewiesen werden, anstatt dafür Administratorrechte zu benötigen. Auf diese Weise können IT-Administratoren die Delegation effizient verwalten. Darüber hinaus stehen viele Best Practices zur Verfügung, die in diesem Fall weiterhelfen können.

Fehler #3: Unzureichende Backup- und Wiederherstellungspläne

Die Fähigkeit eines Unternehmens, Störungen angemessen zu beheben und Ausfallzeiten auf ein Minimum zu reduzieren, hängt stark von der Verfügbarkeit guter Backup- und Wiederherstellungspläne ab. Die Schlüsselfrage lautet: Wie schnell kann sich das Unternehmen von einer unbefugten Änderung erholen? Ein gutes Beispiel dafür ist das versehentliche Löschen eines AD-Objekts. Eine ausreichende Vorbereitung auf solche Situationen ist entscheidend, z.B. macht es Sinn, die Form eines Tombstones oder eines Papierkorbs zu konfigurieren, um die gelöschten Objekte schnell und einfach wiederherzustellen. Darüber hinaus ist die Delegierung von Rechten und die Zuweisung allgemeiner Verwaltungsaufgaben, wie das Entsperren von Konten und das Zurücksetzen von Passwörtern an die Konten unerlässlich.

Fehler #4: Verwaltung über einen Domänencontroller

Oftmals meldet sich der Administrator physisch an einem Domänencontroller an und steuert seine Administrationswerkzeuge von diesem Server aus. Diese Vorgehensweise umfasst in der Regel das normale Objektmanagement, Group Policy Management, DHCP und DNS-Konsolen. In den Best Practices wurde festgestellt, dass Domänencontroller nur die Funktionen ausführen sollen, die tatsächlich für Domänendienste erforderlich sind. Die gesamte tägliche Verwaltung sollte vorzugsweise durch separate und geschützte Geräte erfolgen.

Fehler #5: Obsolete Konten bleiben aktiv

In den meisten Fällen werden die Benutzerkonten nicht ständig überwacht und aktualisiert. Ungenutzte Zugriffe haben in der Regel keinen Einfluss auf die Funktionalität der IT, daher werden sie oftmals von den Administratoren nicht wahrgenommen. Dies bedeutet auch, dass die Accounts ausgeschiedener Mitarbeiter lange nach ihrem Weggang weiter bestehen. Diese Konten werden zu anfälligen Angriffspunkten für böswillige Akteure, die aufgrund fehlender Autorisierung leicht auf die Konten zugreifen und Daten manipulieren können. Es ist wichtig, das AD regelmäßig zu bereinigen und veraltete Benutzer, Computer, Gruppen oder sogar GPOs zu löschen, um solche potenziellen Angriffsvektoren und Netzwerkkomplikationen zu vermeiden.

Fehler #6: Komplizierte Passwortrichtlinien

Die Passwortrichtlinien werden in der Regel aus zwei verschiedenen Perspektiven gestaltet: die der Mitarbeiter und die der Administratoren. Auf der einen Seite beschweren sich die Mitarbeiter oft über die umfangreichen Regeln und die immer wiederkehrenden Passwortänderungen. Auf der anderen Seite kritisieren die Administratoren oft den unvorsichtigen Umgang mit den Zugangsdaten der Mitarbeiter sowie die schlechte Qualität der Passwörter. Es sollte hier ein praktikabler Kompromiss bezüglich der Richtlinien, Compliance und etablierten Best Practices erreicht werden, um die Sicherheit zu erhöhen.

Um sicherzustellen, dass die Mitarbeiter ihre Passwörter häufig ändern oder aktualisieren, sollten die normalen Benutzerpasswörter immer ein Ablaufdatum haben. Allerdings sollte nicht nur eine Automatisierung für das Servicekonto vermieden werden, sondern auch ein regelmäßiger Reset vorgesehen werden. Darüber hinaus müssen verschiedene Konten des gleichen Mitarbeiters - noch besser alle seine Konten - mit unterschiedlichen Passwörtern gesichert werden. Dies minimiert den Schaden, falls die Anmelde-informationen eines Kontos gefährdet sind – die gestohlenen Informationen können nicht für den Zugriff auf andere Konten verwendet werden, die mit seinem Namen verlinkt sind. Es gilt, regelmäßig die aktuellen Best Practices zu überprüfen, um die Sicherheit und Qualität des Passwortmanagements auf dem neuesten Stand zu halten.

Fehler #7: Keine Auditierung und mangelnde Überwachung

In den meisten Fällen wird das AD nur sporadisch auf Anomalien überprüft. Viele Vorfälle werden nicht überprüft, da die Größe des Ereignisprotokolls auf den Domänencontrollern eher klein ist. Aus diesem Grund sollte das Protokoll immer auf die maximale Größe eingestellt werden, damit Änderungen länger verfolgt werden können - auch eine regelmäßige, aktive Analyse ist insbesondere für Domain-Administratoren zwingend erforderlich.  Um Änderungen zu verfolgen, müssen auch Auditrichtlinien zur Verfügung gestellt werden. Bei der Konfiguration von Richtlinien gibt es viele Best Practices, die beachtet werden sollten.  Die Möglichkeit, Änderungen kontinuierlich zu verfolgen, erleichtert die Untersuchung und Fehlersuche im Notfall.

Fazit

Die Verwaltung des Active Directorys erfordert Zeit und Mühe, und für viele Administratoren fehlt diese oftmals im Alltag. In vielen Unternehmen, die auf AD setzen, führt dies zu kostspieligen Vorfällen, die vermieden werden können. Eine Vielzahl von kostenlosen und kostenpflichtigen Tools kann bei der Einrichtung des AD helfen, um komplexe Routineaufgaben zu erleichtern, kritische Szenarien zu vermeiden und wertvolle Zeit zu sparen. Außerdem sollten sich Administratoren die Zeit zu nehmen, Best Practices zu analysieren und anzuwenden sowie sich bewusst mit möglichen Sicherheitsszenarien auseinanderzusetzen.

https://www.netwrix.de/

Autor: Jürgen Venhorst

Diesen Artikel empfehlen