Der US-Regierung liegen Berichten zufolge Beweise vor, dass der Hackerangriff auf Sony im November 2014 auf gestohlene Anmeldeinformationen von Domänenadministratoren zurückzuführen ist. Offiziell wurde dies bis zur Veröffentlichung dieses Artikels nicht bestätigt, doch könnte es sich durchaus so zugetragen haben. Anmeldeinformationen von Windows-Domänenadministratoren ermöglichen es Angreifern potenziell, sich Zugriff auf alle Server in einer Domäne zu verschaffen. Unternehmen müssen zwar auch Maßnahmen zum Schutz lokaler Administratorkonten für Server ergreifen, doch lässt sich damit der Schaden teilweise beschränken, da sie den Zugriff auf einzelne Server beschränken.
Ganz gleich, ob sich Hacker mit kompromittierten Anmeldeinformationen von Administratoren Zugriff auf die Systeme von Sony verschafft haben – der Missbrauch und die weite Verbreitung von Administratorkonten stellt für die IT-Systeme der meisten Unternehmen ein Risiko dar, das durch Befolgung einfacher Best Practices gemindert werden kann.
1. Isolieren von Domänen-Controllern
Die Server, auf denen Windows Active Directory ausgeführt wird, werden als Domänen-Controller (DCs) bezeichnet. Diese sowohl auf physischer als auch auf logischer Ebene umfassend zu schützen ist unerlässlich. Zunächst muss hierfür sichergestellt werden, dass auf Domänen-Controllern neben Active Directory keine anderen Workloads ausgeführt werden. Ein Domänen-Controller sollte beispielsweise nicht zusätzlich als Datei- oder SQL-Datenbank-Server für ein Branchenanwendung genutzt werden. Wichtig ist außerdem der physische Schutz von Domänen-Controllern.
Mit der Einführung von Windows Server 2012 und der Unterstützung der Virtualisierung konnte einfacher sichergestellt werden, dass Domänen-Controller nicht als Host für andere Workloads eingesetzt werden. Die Isolierung von Domänen-Controllern ermöglicht auch eine Aufgabentrennung bei der Administration, d. h. für die regelmäßige Wartung von Servern, die nicht der Ausführung von Active Directory dienen, sollten keine Domänencontrollerrechte erforderlich sein. Zusammen mit dem Zuweisen der Objektverwaltung unterstützt die Isolierung von Domänen-Controllern Sie bei der Verwaltung von Änderungen an Ihren Systemen.
2. Zuweisen der Objektverwaltung
Privilegierte Konten sollten niemals zur Anmeldung auf Benutzer-Workstations genutzt werden und auf Geräte beschränkt sein, die der Administration vertraulicher Systeme dienen. Wenn Sie Rechte delegieren, benötigen Ihre IT-Mitarbeiter zur Ausführung ihrer Aufgaben keine Domänenadministratorkonten. Konfigurieren Sie Active Directory so, dass neben den Domänenadministratoren auch noch eine weitere Gruppe Computer mit einer Domäne verbinden kann. Definieren Sie anschließend eine Strategie, um einer designierten Gruppe Remote-Desktop-Zugriff zu gewähren.
Nutzen Sie den Assistenten zum Zuweisen der Objektverwaltung in Windows Server, um Ihren IT-Mitarbeitern Zugriff auf Active Directory zu gewähren, damit sie routinemäßige Administrationsaufgaben wie die Verwaltung von Benutzern und Gruppen ausführen können. Zwar ist es nicht möglich, vollständig auf die Verwendung von Anmeldeinformationen von Domänenadministratoren zu verzichten, doch können Sie einer bestimmten Benutzergruppe das Recht erteilen, Domänen-Controller neu zu starten, die Weiterleitung von Ereignisprotokollen einzurichten und Windows Update so zu konfigurieren, dass Anmeldeinformationen für Domänenadministratoren nur noch in seltenen Fällen benötigt werden.
3. Geschützte Benutzer und Authentifizierungssilos
Ab Windows Server 2012 definiert die Gruppe Geschützte Benutzer Einschränkungen für Benutzerkonten, mit denen die Wahrscheinlichkeit einer Kompromittierung verringert werden soll. Hierzu gehören das Blockieren des Legacy-Authentifizierungsprotokolls NTLM, einer schwachen Verschlüsselung in der Kerberos-Vorauthentifizierung und der Kerberos-Delegierung.
Mit Windows Server 2012 R2 wurden außerdem Authentifizierungsrichtlinien und -silos eingeführt, mit denen sich einschränken lässt, über welche Geräte sich Benutzer authentifizieren können. Sie könnten beispielsweise eine Richtlinie und ein Silo erstellen, um zu verhindern, dass sich Domänenadministratoren über andere Geräte als die Domänen-Controller authentifizieren.
