Share
Beitragsbild zu Was ist Active Directory-Sicherheit?

Was ist Active Directory-Sicherheit?

23. April 2025

Was sind bewährte Verfahren für die Sicherheit von Active Directory?

Seit 1999 ist Active Directory der Standarddienst für die Identitäts- und Zugriffsverwaltung in Windows-Netzwerken. Active Directory ist die Software, die für die Authentifizierung und Autorisierung von Benutzern und Computern in cloudbasierten und lokalen Anwendungen verantwortlich ist. Im Wesentlichen weist es allen Netzwerkendpunkten Sicherheitsrichtlinien zu und setzt diese durch.

Active Directory ist für das Funktionieren von lokalen, cloudbasierten und hybriden Ökosystemen von zentraler Bedeutung. Es ist entscheidend für die Produktivität – und damit wohl auch für die Geschäftskontinuität selbst. Aus diesem Grund ist es für Sicherheitsverantwortliche wichtig, die Best Practices für Active Directory zu kennen.

Was sind gängige Bedrohungen für die Active Directory-Sicherheit?

Die Langlebigkeit von Active Directory hat zwar Vertrauen und Vertrautheit geschaffen, aber auch die Aufmerksamkeit böswilliger Akteure auf sich gezogen. Diese Angreifer sind ständig auf der Suche nach Schwachstellen, um sich unbefugten Zugriff auf sensible Daten zu verschaffen.

Stellen Sie sich AD als eine befestigte Burg vor. Ihre Mauern bestehen aus komplexen Protokollen und Verschlüsselungen, aber wie jede Burg hat auch sie ihre Schwachstellen. Angreifer setzen wie gerissene Belagerungsingenieure verschiedene Taktiken ein, um diese Verteidigungsanlagen zu durchbrechen. Active Directory ist zahlreichen Bedrohungen ausgesetzt, darunter:

  • Systemschwachstellen – Hierbei handelt es sich um Mängel, die der Architektur oder den Protokollen von AD innewohnen. Stellen Sie sich diese als Risse in den Burgmauern vor. Einige gängige Beispiele sind:
    • Kerberos-Authentifizierung – Trotz seiner Stärken weist Kerberos Schwachstellen wie Pass-the-Hash-, Pass-the-Ticket-, Golden-Ticket- und Silver-Ticket-Angriffe auf, die es Angreifern ermöglichen, Authentifizierungsdaten zu fälschen und sich unbefugten Zugriff zu verschaffen.
    • NTLM-Verschlüsselung – NTLM ist ein veraltetes Protokoll, das tief in AD verankert ist und eine schwache Verschlüsselung bietet, die Angreifer ausnutzen können.
  • Brute-Force-Angriffe – Bei diesen unerbittlichen Angriffen wird versucht, Passwörter zu knacken, indem systematisch alle möglichen Kombinationen ausprobiert werden.
  • Insider-Bedrohungen – Diese nutzen menschliches Versagen oder böswillige Absichten aus, um sich Zugriff zu verschaffen. Häufige Beispiele sind:
    • Phishing und Social Engineering – Mit betrügerischen Taktiken wie gefälschten E-Mails oder Telefonanrufen können Benutzer dazu gebracht werden, ihre Anmeldedaten preiszugeben und so den Angreifern die Schlüssel in die Hand zu spielen.
    • Spear-Phishing – Personalisierte Angriffe, die mit maßgeschneiderten Nachrichten auf bestimmte Personen abzielen, sind noch effektiver.
    • Übermäßige Berechtigungen – Wenn Benutzern mehr Zugriff gewährt wird als nötig, entstehen Möglichkeiten für vorsätzlichen oder versehentlichen Missbrauch.
Die wichtigsten 20 Best Practices für Active Directory-Sicherheit

Bewährte Verfahren für Active Directory-Richtlinien sind für eine optimale Systemfunktion von entscheidender Bedeutung. Sie verbessern die Sicherheit, verhindern Datenverluste und gewährleisten einen effizienten Betrieb. Im Folgenden finden Sie eine umfassende Liste bewährter Verfahren für die Active Directory-Sicherheit:

  • Finden und entfernen Sie nicht verwendete Benutzer- und Computerkonten

Implementieren Sie ein Verfahren zur Identifizierung und Verwaltung inaktiver Benutzer und Computerkonten in Active Directory. Nicht verwendete Konten stellen ein Sicherheitsrisiko dar und beeinträchtigen die Systemfunktionalität. Die CIS Critical Security Controls empfehlen die sofortige Löschung oder Deaktivierung ruhender Konten, um potenzielle Bedrohungen durch schwache Passwörter und unbefugten Zugriff zu minimieren.

  • Verwenden Sie mindestens zwei Konten

Um die Sicherheit zu erhöhen, vermeiden Sie tägliche Anmeldungen mit Konten, die über lokale Administrator- oder Domänenadministratorrechte verfügen. Führen Sie ein System mit zwei Konten ein: ein Standardkonto für Routineaufgaben und ein privilegiertes Konto ausschließlich für Verwaltungsaufgaben. Implementieren Sie ein Verwaltungsmodell mit minimalen Berechtigungen und beschränken Sie die Benutzerrechte. Vermeiden Sie es, sekundäre Konten dauerhaft in der Gruppe „Domänenadministratoren“ anzulegen – nehmen Sie sie nur vorübergehend auf, wenn dies erforderlich ist. Microsoft rät aufgrund von Sicherheitsrisiken von langfristigen Domänenadministratorrechten ab.

  • Entfernen Sie Benutzer aus der lokalen Administratorengruppe

Vermeiden Sie es, normale Benutzer in der lokalen Administratorengruppe auf Computern zu haben, um potenzielle Sicherheitsrisiken zu minimieren. Benutzer mit lokalen Administratorrechten können das gesamte Betriebssystem kompromittieren, was zu Sicherheitsproblemen wie der Installation von Malware und Datendiebstahl führen kann. Der Schwachstellenbericht von Microsoft legt nahe, dass durch das Entfernen von Administratorrechten 85 % der 2018 entdeckten kritischen Schwachstellen hätten gemindert werden können. Kontrollieren Sie die lokale Administratorengruppe über Gruppenrichtlinien, um unbefugte Hinzufügungen zu verhindern.

  • Überwachen Sie DNS-Protokolle auf bösartige Netzwerkaktivitäten

Stellen Sie sicher, dass alle mit der Domäne verbundenen Systeme den lokalen Windows-DNS-Server verwenden, um sowohl interne als auch externe DNS-Abfragen zu protokollieren. Auf diese Weise können alle DNS-Lookups verfolgt und Verbindungen zu potenziell bösartigen Websites identifiziert werden. Aktivieren Sie die DNS-Fehlerprotokolle auf Windows-Servern, indem Sie die DNS-Verwaltungskonsole aufrufen, „Eigenschaften“ auswählen, zur Registerkarte „Fehlerprotokollierung“ navigieren und „Pakete für Fehlerbehebung protokollieren“ aktivieren. Die Analyse dieser Protokolle hilft dabei, verdächtige Aktivitäten schnell zu erkennen und zu beheben.

  • Deaktivieren Sie das lokale Administratorkonto auf allen Computern

Das lokale Administratorkonto in Domänenumgebungen ist unnötig und stellt aufgrund seiner bekannten Eigenschaften und der üblichen Passwortkonfigurationen auf Computern ein Sicherheitsrisiko dar. Angreifer, die ein System ausnutzen, könnten lokale Administratorrechte auf allen mit der Domäne verbundenen Computern erlangen, Berechtigungen erweitern und möglicherweise auf Domänenadministrator-Anmeldedaten zugreifen. Administratoraufgaben sollten mit individuellen Konten ausgeführt werden. Wenn Sie das lokale Administratorkonto nicht deaktivieren können, wird empfohlen, es mit den empfohlenen Einschränkungen zu sichern.

  • Sperren Sie Dienstkonten

Dienstkonten, die zur Ausführung von Aufgaben oder Diensten verwendet werden, sind häufig mit Passwörtern versehen, die nie ablaufen, was zu Sicherheitsrisiken führt. Diese Konten können übermäßige Berechtigungen ansammeln und werden manchmal sogar zur Gruppe der Domänenadministratoren hinzugefügt. Es ist äußerst wichtig, Dienstkonten durch die Verwendung von verwalteten Dienstkonten, starken Passwörtern, Zugriffsbeschränkungen, die Vermeidung lokaler Administratorrechte und die Verweigerung der Aufnahme in die Domänenadministratoren zu sichern.

  • Aktivieren Sie die Überprüfungsrichtlinieneinstellungen mit Gruppenrichtlinien

Konfigurieren Sie wichtige Überprüfungsrichtlinieneinstellungen in der Gruppenrichtlinie für alle Computer und Server, die verschiedene Kategorien wie Kontoanmeldung, Kontoverwaltung, detaillierte Nachverfolgung, Anmeldung/Abmeldung, Objektzugriff, Richtlinienänderungen, Verwendung von Berechtigungen und System abdecken. Stellen Sie sicher, dass bestimmte Ereignisse in jeder Kategorie auf „Erfolg“ oder „Erfolg und Fehler“ gesetzt sind, um eine umfassende Überwachung zu gewährleisten. Dies hilft bei der Erkennung potenzieller böswilliger Aktivitäten, insbesondere auf Arbeitsstationen, von denen Angriffe ausgehen können.

  • Überwachen Sie DHCP-Protokolle für verbundene Geräte

Die Verwaltung von Netzwerkverbindungen an mehreren Standorten mit zahlreichen Benutzern und Geräten kann eine Herausforderung sein. Die Implementierung von Methoden, die nur autorisierten Geräten den Zugriff erlauben, ist zwar kostspielig, aber effektiv. Alternativ können Sie die DHCP-Protokolle für verbundene Geräte überwachen und dabei vorhandene Ressourcen nutzen. Stellen Sie sicher, dass Endbenutzergeräte DHCP verwenden, und legen Sie eine Namenskonvention fest, um autorisierte und potenziell nicht autorisierte Geräte leicht identifizieren zu können.

  • Verwenden Sie einen sicheren Administratorarbeitsplatz (SAW)

Eine Secure Admin Workstation (SAW) ist ein dediziertes System, das ausschließlich für administrative Aufgaben mit einem privilegierten Konto verwendet wird und die Sicherheit durch Minimierung von Schwachstellen erhöht. Der Internetzugang und Aufgaben wie das Abrufen von E-Mails sollten vermieden werden. SAW ist für Aufgaben wie die Verwaltung von Active Directory-Sicherheitsberichten, Gruppenrichtlinien und die Serververwaltung von entscheidender Bedeutung und bietet Schutz vor internen und externen Bedrohungen. Implementieren Sie ein sauberes Betriebssystem, Sicherheitsbaselines, vollständige Festplattenverschlüsselung, USB-Port-Einschränkungen, eine Firewall und Zwei-Faktor-Authentifizierung für erhöhte Sicherheit.

  • Verwenden Sie sichere DNS-Dienste, um bösartige Domänen zu blockieren

Verhindern Sie bösartigen Datenverkehr, indem Sie schädliche DNS-Lookups blockieren. Dienste wie Quad9, OpenDNS und Comodo Secure DNS überprüfen DNS-Anfragen anhand von Bedrohungslisten und blockieren den Zugriff auf markierte bösartige Domänen. Dieser proaktive Ansatz stoppt potenzielle Bedrohungen, bevor sie in das Netzwerk gelangen, und erhöht so die allgemeine Sicherheit. Viele Intrusion Prevention Systeme unterstützen diese Funktion ebenfalls.

  • Verwenden Sie aussagekräftige Namen für Sicherheitsgruppen

Sorgen Sie für eine effiziente Ressourcenverwaltung, indem Sie Berechtigungen über Sicherheitsgruppen statt über einzelne Konten vergeben. Vermeiden Sie generische Namen für Sicherheitsgruppen, da diese zu einem Verlust der Sicherheitskontrolle führen und die Nachverfolgung der Nutzung erschweren. Verwenden Sie aussagekräftige Gruppennamen, um die Übersichtlichkeit zu verbessern und eine versehentliche Vergabe von Berechtigungen zu verhindern.

  • Nutzen Sie die neuesten ADFS- und Azure-Sicherheitsfunktionen

Nutzen Sie die Sicherheitsfunktionen von ADFS, Azure und Office 365, um den Schutz vor Passwort-Spraying, Kontoübernahmen und Phishing zu verbessern. Premium-Abonnements bieten zwar die besten Funktionen, aber Microsoft aktualisiert die Sicherheitsmaßnahmen auf allen Ebenen kontinuierlich. Zu den bemerkenswerten Funktionen gehören Smart Lockout, IP Lockout, Angriffssimulationen, MFA-Authentifizierung, gesperrte Passwörter, Azure AD Connect Health und benutzerdefinierte ungültige Passwörter.

  • Verwenden Sie Passphrasen

Die Verwendung von Passwörtern wird immer umständlicher, da aus Sicherheitsgründen mittlerweile mindestens 12 Zeichen erforderlich sind. Passphrasen, die aus zufälligen Wörtern bestehen, sind widerstandsfähiger gegen Hacking-Versuche als komplexe Passwörter. Raten Sie von vorhersehbaren Mustern in Passwörtern wie „S@mmer2018“ ab und empfehlen Sie stattdessen wirklich zufällige Passphrasen wie „Bucketguitartire22“, um Cracking-Versuche wirksam zu vereiteln. Halten Sie sich an die NIST-Richtlinien und aktualisieren Sie die Richtlinien Ihres Unternehmens entsprechend.

  • Erstellen Sie einen Wiederherstellungsplan

Erstellen Sie einen robusten Plan für die Reaktion auf Vorfälle, um Netzwerkangriffen oder Ransomware entgegenzuwirken. Priorisieren Sie Mitarbeiterschulungen, richten Sie System-Backups zur Minderung von Sicherheitslücken in Active Directory ein und legen Sie klare Kommunikationsverfahren fest. Erkennen Sie die Notwendigkeit eines gut strukturierten Reaktionsplans, um die Auswirkungen von Angriffen zu mindern und Dienste schnell wiederherzustellen. Orientieren Sie sich an Ressourcen wie dem Leitfaden des NIST zum Umgang mit Vorfällen.

  • Beschränken Sie die Verwendung von Domänenadministratoren und anderen privilegierten Gruppen

Vermeiden Sie alltägliche Benutzerkonten in Domänenadministratorgruppen, die über umfangreiche domänenweite Zugriffsrechte verfügen. Nur das standardmäßige Domänenadministratorkonto sollte ein ständiges Mitglied sein. Microsoft empfiehlt, Konten bei Bedarf vorübergehend in Domänenadministratoren, Unternehmensadministratoren, Sicherungsadministratoren oder Schemaadministratoren zu verschieben und sie nach Abschluss der Aufgaben wieder zu entfernen. Dadurch wird verhindert, dass Angreifer, insbesondere durch Methoden wie Pass-the-Hash, kompromittierte Anmeldedaten ausnutzen und ihre Berechtigungen innerhalb eines Netzwerks erweitern können.

  • Verwenden Sie LAPS

Local Administrator Password Solution (LAPS) ist ein Microsoft-Tool zur Verwaltung lokaler Administratorkennwörter auf Computern, die einer Domäne angehören. LAPS legt für jedes lokale Administratorkonto ein eindeutiges Kennwort fest, das für den einfachen Zugriff in Active Directory gespeichert wird. Das Tool wird über Gruppenrichtlinien bereitgestellt und mindert das Risiko einer Kompromittierung lokaler Administratorkonten auf allen Systemen, ohne dass zusätzliche Server erforderlich sind.

  • Verwenden Sie Zwei-Faktor-Authentifizierung für Office 365 und den Remotezugriff

Kompromittierte Konten stellen eine erhebliche Bedrohung dar, da sie Angreifern Remotezugriff über VPN, Citrix oder andere Systeme ermöglichen. Überprüfen Sie die Protokolle auf unerwartete Anmeldeversuche, insbesondere aus Regionen wie China und Russland. Die Implementierung einer Zwei-Faktor-Authentifizierung ist eine robuste Verteidigungsmaßnahme, die kompromittierte Anmeldedaten und Passwort-Spraying-Angriffe verhindert. Nutzen Sie die integrierte MFA von Office 365 oder ziehen Sie beliebte Lösungen wie DUO und RSA für mehr Sicherheit in Betracht.

  • Delegierung an Active Directory dokumentieren

Kontrollieren Sie den Zugriff auf Active Directory und zugehörige Ressourcen mithilfe von Sicherheitsgruppen. Die Delegierung von Rechten an Einzelpersonen kann zu Kontrollverlusten führen. Erstellen Sie daher benutzerdefinierte Gruppen mit spezifischen Namen, dokumentieren Sie die Rechteinhaber und richten Sie einen kontrollierten Prozess für das Hinzufügen neuer Benutzer ein. Behalten Sie die Übersicht, um unkontrollierte Hinzufügungen zu benutzerdefinierten Gruppen zu verhindern und sicherzustellen, dass Berechtigungen gut verwaltet und dokumentiert bleiben.

  • Sichern Sie das Domänenadministratorkonto

Das integrierte Administratorkonto, das in jeder Domäne vorhanden ist, sollte ausschließlich für die Ersteinrichtung und die Notfallwiederherstellung verwendet werden. Für den täglichen administrativen Zugriff werden einzelne Konten empfohlen. Sichern Sie das Administratorkonto, indem Sie die Empfehlungen von Microsoft über Gruppenrichtlinien umsetzen und Maßnahmen wie die Anforderung einer Smartcard-Anmeldung und die Verweigerung verschiedener Zugriffstypen implementieren, um die Sicherheit zu erhöhen.

  • Installieren Sie keine zusätzliche Software oder Serverrollen auf DCs

Um die Sicherheit zu erhöhen, sollten auf Domänencontrollern (DCs) nur minimale Software und Rollen installiert sein. Für DCs wird Windows Server Core empfohlen, das ohne GUI ausgeführt wird, um die Angriffsfläche zu reduzieren. Dies eignet sich auch für Rollen wie DHCP, DNS, Druckserver und Dateiserver, die weniger Sicherheitspatches erfordern. Beachten Sie, dass Kompatibilitätsprobleme mit bestimmter Software von Drittanbietern auftreten können.

Fazit

Die Einhaltung von Best Practices ist für die Sicherheit von Active Directory von entscheidender Bedeutung, da sie dazu beiträgt, potenzielle Bedrohungen zu minimieren, vor unbefugtem Zugriff zu schützen und einen effizienten Betrieb zu gewährleisten. Durch die Umsetzung dieser Praktiken verbessern Unternehmen ihre Abwehr gegen sich ständig weiterentwickelnde Cyber-Bedrohungen, schützen sensible Daten und gewährleisten die Integrität und Zuverlässigkeit ihrer Netzwerkinfrastruktur.

Quelle: XM Cyber-Glossar

Weitere Informationen:

CTEM Section

Continuous Exposure Management

XM Cyber deckt auf, wie Angreifer Ihre Umgebung ausnutzen können – vollautomatisch. Unsere Lösung visualisiert sämtliche Angriffspfade zu kritischen Ressourcen in einem Diagramm. So können Sie sich auf die 2 % der Fixes konzentrieren, mit denen sich die wirklich relevanten Angriffspfade durchkreuzen lassen – und vergeuden keine Zeit mehr mit Maßnahmen, die sich nicht auf Ihr Risiko auswirken.

XM Cyber bei LinkedIn

Bild/Quelle: https://depositphotos.com/de/home.html

Teile diesen Beitrag:

Firma zum Thema

xmcyber

Fachartikel

Featured image for “ETH-Forschende entdecken neue Sicherheitslücke in Intel-Prozessoren”

ETH-Forschende entdecken neue Sicherheitslücke in Intel-Prozessoren

Featured image for “Sicherheitskontrollen im Wandel: Warum kontinuierliche Optimierung zur proaktiven Abwehr und einem stabilen Sicherheitsmanagement gehört”

Sicherheitskontrollen im Wandel: Warum kontinuierliche Optimierung zur proaktiven Abwehr und einem stabilen Sicherheitsmanagement gehört

Featured image for “Massives Datenleck: 200 Milliarden Dateien in Cloud-Speichern öffentlich zugänglich”

Massives Datenleck: 200 Milliarden Dateien in Cloud-Speichern öffentlich zugänglich

Featured image for “Windows 10: Mai-Update führt zu BitLocker-Wiederherstellungsschleife”

Windows 10: Mai-Update führt zu BitLocker-Wiederherstellungsschleife

Featured image for “Advanced NPM Supply-Chain Attack kombiniert Unicode-Steganografie mit Google Kalender als C2-Kanal”

Advanced NPM Supply-Chain Attack kombiniert Unicode-Steganografie mit Google Kalender als C2-Kanal

Studien

Featured image for “Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld”

Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld

Featured image for “Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs”

Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs

Featured image for “Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart”

Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart

Featured image for “IBM treibt den Einsatz generativer KI in Unternehmen mit hybrider Technologie voran”

IBM treibt den Einsatz generativer KI in Unternehmen mit hybrider Technologie voran

Featured image for “Weltweite Umfrage: Mehrheit der Technologieverantwortlichen spricht sich für Robotik im Arbeitsumfeld aus”

Weltweite Umfrage: Mehrheit der Technologieverantwortlichen spricht sich für Robotik im Arbeitsumfeld aus

Whitepaper

Featured image for “TeleTrusT legt aktualisiertes Positionspapier „Cyber-Nation“ vor”

TeleTrusT legt aktualisiertes Positionspapier „Cyber-Nation“ vor

Featured image for “Sechs entscheidende Tipps für den erfolgreichen Einsatz von cIAM-Lösungen”

Sechs entscheidende Tipps für den erfolgreichen Einsatz von cIAM-Lösungen

Featured image for “Wie die Datenverwaltung Wachstum und Compliance fördert”

Wie die Datenverwaltung Wachstum und Compliance fördert

Featured image for “Group-IB präsentiert die zehn gefährlichsten Cybergruppen 2025”

Group-IB präsentiert die zehn gefährlichsten Cybergruppen 2025

Featured image for “Cyberkriminelle nehmen 2025 verstärkt das Gesundheitswesen ins Visier”

Cyberkriminelle nehmen 2025 verstärkt das Gesundheitswesen ins Visier

Hamsterrad-Rebell

Featured image for “Insider – die verdrängte Gefahr”

Insider – die verdrängte Gefahr

Featured image for “Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken”

Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken

Featured image for “Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht”

Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht

Featured image for “Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen”

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen

Featured image for “Anmeldeinformationen und credential-basierte Angriffe”

Anmeldeinformationen und credential-basierte Angriffe