Active Directory (AD) ist ein besonders attraktives Ziel für Hacker, da sie sich darüber Zugriff auf vertrauliche Unternehmensdaten verschaffen können. Bei der Konzeption eines sicheren Administrationsmodells für Active Directory sollten Sie die folgenden vier Aspekte berücksichtigen.
1. Heben Sie zu weit gefasste Berechtigungen von Domänenadministratoren auf
Konten von Domänen- und Unternehmensadministratoren sind das Tor zu Ihrer IT-Umgebung. Sind diese Konten erst einmal kompromittiert, haben Angreifer leichtes Spiel und können die Kontrolle über Ihr Unternehmen übernehmen. Vor diesem Hintergrund mag es überraschen, dass eines der größten Sicherheitsprobleme von Unternehmen die Zunahme von Domänenadministrator-Konten und die gemeinsame Nutzung der Kennwörter für diese Konten ist.
Stellen Sie deshalb zunächst sicher, dass das Kennwort für das Domänenadministrator-Konto lang und komplex ist sowie regelmäßig geändert werden muss. Denken Sie dabei auch an das Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus (DSRM). Überprüfen Sie, welche Benutzer den Gruppen Schema-Administratoren, Domänenadministratoren und Unternehmensadministratoren angehören. Mit Ausnahme der Standardkonten sollten diesen Gruppen in der Regel keine Mitglieder enthalten.
Für die meisten Aufgaben im Zusammenhang mit Active Directory sind keine Administratorberechtigungen erforderlich. Wird jedoch privilegierter Zugriff auf einen Domänen-Controller benötigt, können Sie die zur Ausführung der Aufgabe erforderlichen Berechtigungen vorübergehend zuweisen und nach Erledigung der Aufgabe wieder aufheben. Wenn Sie dauerhafte Administratorrechte erteilen möchten, etwa die Möglichkeit, einen Windows-Dienst oder einen Domänen-Controller neu zu starten, sollten Sie eine entsprechende Überwachung einrichten, damit von den Kontobesitzern vorgenommene Änderungen erfasst werden.
2. Delegieren Sie Rechte
Für Routineaufgaben bei der Administration von Active Directory wie das Erstellen neuer Benutzerkonten und das Ändern der Gruppenmitgliedschaft sind keine Domänenadmistratorrechte erforderlich. Mit dem integrierten Delegierungs-Assistenten können Sie Benutzern oder Gruppen die Rechte zuweisen, die sie für typische Aufgaben benötigen.
Um diese Delegierung zu vereinfachen, empfiehlt sich eine Struktur mit Organisationseinheiten, mit der sich Konten mit besonderen Berechtigungen in der Domäne von Konten für Benutzer außerhalb der IT-Abteilung trennen lassen. Helpdesk-Mitarbeitern kann beispielsweise die Berechtigung erteilt werden, Benutzerkonten zu entsperren und Gruppenobjekte in einer Organisationseinheit zu ändern, ohne dass sie berechtigt sind, Änderungen an Objekten in einer Organisationseinheit für Konten mit privilegiertem Zugriff auf die Domäne vorzunehmen.
3. Schützen Sie privilegierte Gruppen mit eingeschränkten Gruppen
Die Gruppenrichtlinie enthält eine Funktion namens „Eingeschränkte Gruppen“, mit der Sie Richtlinien für die Mitgliedschaft in Active Directory oder lokalen Gruppen definieren können. Wenn Sie die Nutzung privilegierter Active Directory-Gruppen einschränken und den Zugriff auf Active Directory zu Administrationszwecken wie oben beschrieben delegieren, können Sie ein Gruppenrichtlinienobjekt (GPO) einrichten, um die Mitgliedschaft in den Gruppen Schema-Administratoren, Domänenadministratoren und Unternehmensadministratoren zu verwalten.
Benutzer, die Mitglied in einer oder mehrerer dieser Gruppen sind oder zur Änderung des Gruppenrichtlinienobjekts berechtigt sind, könnten diese Richtlinie zwar außer Kraft setzen. Sie können jedoch mit der Funktion „Eingeschränkte Gruppen“ die Mitgliedschaft in Gruppen mit privilegiertem Zugriff auf Active Directory so definieren, dass Domänen-Controller vor Administratoren mit unlauterer Absicht geschützt sind, die sich selbst als Mitglied zu einer privilegierten Gruppe hinzufügen möchten.
Für eine schnellere Konfiguration der Einstellungen der Gruppenrichtlinie können Sie Active Directory-Tools nutzen, mit denen sich Active Directory und Gruppenrichtlinienobjekte einfacher verwalten lassen.
4. Isolieren Sie Workstations, über die Domänen-Controller verwaltet werden
Wenn Sie sich bei Active Directory anmelden oder auf andere Weise per Fernzugriff über ein Konto mit privilegiertem Zugriff autorisieren, sollten Sie dafür ein Gerät nutzen, das so konfiguriert ist, dass Risiken im Zusammenhang mit Routineaufgaben minimiert werden.
Workstations, die speziell für privilegierte Domänenkonten genutzt werden, sollten vom Internet getrennt sein und gemäß dem Prinzip der geringsten Rechte verwendet werden. Sie sollten außerdem die Überwachung aktivieren und andere Sicherheitsmaßnahmen ergreifen, beispielsweise Virenschutzsoftware, eine Firewall auf Endgeräten und Funktionen für die Anwendungskontrolle implementieren. Platzieren Sie Computerobjekte für diese Workstations außerdem in einer eigenen Organisationseinheit, auf die Sie eine separate Richtlinie anwenden. Beschränken Sie den Zugriff auf lokale Anmeldungen und setzen Sie mithilfe der Gruppenrichtlinie die oben aufgeführten Einschränkungen durch.
