Checkliste: Wie sicher ist Ihr Active Directory?

von Markus Baumeister
09. August 2022
8 Minuten zu lesen
Autor
Markus Baumeister
Wenn Microsoft Server Systeme an ihre Grenzen stoßen, dann finde ich einen Weg sie zu überwinden.
Zum Experten Profil
Teilen:
Kategorien:
  • Microsoft Server

Checkliste: Wie sicher ist Ihr Active Directory?

Reden wir gar nicht lange drum herum: Gemessen an seiner Bedeutung wird das Active Directory (AD) in vielen Unternehmen oft sträflich vernachlässigt. Chaotisch gewachsene Strukturen, alte Karteileichen oder unzulässige Zugriffsrechte werden leichtfertig in Kauf genommen. Das geschieht ganz nach dem Prinzip „Hauptsache es läuft“.

Wie sieht`s bei Ihnen aus? Wir reden hier immerhin von der zentralen Verwaltung Ihrer IT-Ressourcen, über Zugriffsrechte auf sensible Unternehmensdaten und damit nicht zuletzt über die Sicherheit Ihrer IT. 

Zwar ist das Active Directory häufig noch nicht einmal selbst das Angriffsziel, aber aus Angreifersicht ein sehr wichtiges Mittel zum Zweck. Wer sich etwa Zugriff auf ein Datenbanksystem mit wichtigen Kundendaten verschaffen möchte, wird sicher auch das Active Directory als mögliches Eintrittstor missbrauchen.

Das zeigt, dass Ihr Active Directory optimal abgesichert sein muss. Sofern Sie das Risiko minimieren möchten, dass Ihr Unternehmen erfolgreich kompromittiert wird.

Punkt 1: Bringen Sie Ordnung und Struktur in Ihr Active Directory

Bei den meisten Unternehmen zählen die zwei wichtigsten Basics eines Active Directory zu den Sicherheitsstandards, die am sträflichsten vernachlässigt werden: Struktur und Ordnung. Beides klingt ähnlich, ist aber voneinander zu unterscheiden. 

Zur Struktur: Ohne eine klare, sinnvolle Struktur verlieren Sie schnell den Überblick – und genau das darf nicht passieren. Nur, wenn Sie einen genauen Überblick über Ihr Active Directory haben, können Sie überhaupt Sicherheitslücken identifizieren und diese beheben. Darüber hinaus können Sie Richtlinien für ganze Gruppen nur dann sinnvoll und fehlerfrei verteilen, wenn Ihre AD-Struktur das erlaubt.

Was ist eine sinnvolle Active Directory Struktur?

Alle Konten und Objekte Ihres Active Directory müssen vor diesem Hintergrund zwingend sinnvoll strukturiert werden. Allein wenn Sie auf der ersten Strukturebene Computer, User und Gruppen voneinander trennen und diese jeweils auf der nächsten Ebene weiter nach Standorten und Abteilungen aufgliedern, haben Sie bereits eine sehr gute Grundlage für alle weiteren Schritte geschaffen. 

Wichtig ist, dass Sie bei allen Gliederungsschritten im Hinterkopf behalten, dass sich Gruppenrichtlinien später immer von einem Ordner auf alle darunterliegenden Strukturebenen weitervererben können. Je sinnvoller Sie Ihre Struktur aufgebaut haben desto einfacher und zuverlässiger können Sie die Richtlinien später für sich nutzen.

Was ist ein ordentliches Active Directory?

Ein Active Directory sollte nicht nur strukturiert sein. Es muss auch ordentlich gepflegt sein. Das heißt: Es sollten ausschließlich Objekte und Konten zu sehen sein, die auch tatsächlich genutzt werden. Das erfordert eine kontinuierliche Pflege. 

Bezogen auf Ihre Personalentwicklung im Übrigen nicht nur in Onboarding- sondern auch in Offboarding-Prozessen. Die altbekannten Karteileichen haben im AD nichts verloren, erst recht nicht, wenn Sie zu aktiven Zeiten mit weitreichenden Privilegien innerhalb des Netzwerks ausgestattet waren. 

Punkt 2: So viele Rechte wie nötig. So wenig Rechte wie möglich.

Als weiteres Basic eines stabilen und sicheren Active Directory sollten Sie zu jeder Zeit das „Prinzip der geringsten Privilegien“ (Least Privilege Principle) anwenden. Es besagt: Vergeben Sie allen Benutzerkonten immer nur so viele Zugriffsrechte wie nötig und so wenig wie möglich. 

Auf diese Weise minimieren Sie einerseits das Risiko, dass einer Ihrer Mitarbeitenden zu einer Gefahr für Ihr Unternehmen wird, weil er aufgrund zu weitreichender Rechte unrechtmäßig Daten kopieren, verändern oder löschen kann – egal ob gewollt oder ungewollt. 

Anderseits verringern Sie das Risiko, dass ein Angreifer sich in Folge einer erfolgreichen Account-Übernahme zu einfach weitreichende Rechte verschafft, um Daten zu stehlen oder zu manipulieren.

Cyberangriffe auf ein Active Directory Netzwerk funktionieren meist durch den Diebstahl von Anmeldeinformationen von Mitarbeitenden oder Administratoren. Auf diese Weise erhalten die Kriminellen einen privilegierten Zugriff auf einen Computer. Und damit haben sie häufig auch freien Zugriff auf das gesamte Netzwerk.

Privilegierte Gruppen – So können Sie AD Rechte bedarfsgerecht zuweisen

Doch wie sieht sie denn aus, die ideale Konfiguration der AD Rechte für Mitarbeitende? Nach dem Prinzip der geringsten Privilegien können „normale User“des Active Directory Systems viele Verzeichnisdaten nur lesen. Sie können es aber weder bearbeiten noch verändern. 

Benötigt ein Benutzer für ein bestimmtes Projekt oder eine Aufgabe nun jedoch eine zusätzliche Berechtigung, kann er projektbezogen zu einer privilegierten Gruppe hinzugefügt werden. In dieser kann zusätzlich gewährte Berechtigungen präzise eingestellt werden. So erhält der Mitarbeitende alle Berechtigungen, die er zur Ausführung seiner Rolle benötigt, aber wird von allen anderen Funktionen weiterhin ausgeschlossen. 

Erstellen Sie solche Gruppen, können Sie es Usern auch ermöglichen, administrative Tätigkeiten auszuführen, ohne dass sie durch Rechte, die über ihre Aufgabe hinausgehen, das Unternehmen gefährden. Dabei sollten Sie ausschließlich getrennte Konten für solche administrativen Aufgaben erstellen und nutzen. Der „normale“ Useraccount sollte demnach keine privilegierten Rechte erhalten.

Punkt 3: Checken Sie Ihr Active Directory regelmäßig durch – oder lassen Sie es checken

Ganz egal in welchem Zustand sich Ihr Active Directory aktuell befindet. Sie sollten entlang einer Checkliste regelmäßig überprüfen, ob Ihr AD zumindest an den wichtigsten Stellschrauben den Mindestanforderungen entspricht. Dadurch kann ein sicherer und stabiler IT-Betrieb sichergestellt werden. 

Andernfalls bieten Sie internen und externen Angreifern zahlreiche Möglichkeiten, um Ihnen erheblichen Schaden zuzuführen: sei es, weil Anmeldeinformationen mit weitreichenden Zugriffsrechten gestohlen und missbraucht werden; sei es, weil sensible Daten gestohlen oder manipuliert werden; sei es, weil sich eine Schadsoftware allzu leicht den Weg in die empfindlichsten Bereiche Ihres Netzwerks bahnt. 

Eine Checkliste mit den wichtigsten Basisabsicherungen für ein Active Directory unterstützt Sie dabei, einen stabilen und sicheren IT-Betrieb aufrecht erhalten zu können. Dabei gilt: Je strukturierter und ordentlicher Ihr AD, je regelmäßiger Sie Ihren AD-Check durchführen desto schneller können Sie einen grünen Haken hinter Ihr AD machen. Es gibt mehrere professionelle Tools, die seitens der Hersteller ständig aktualisiert werden. Diese werden Ihnen die wichtige Aufgabe erleichtern.

Beispiel: Was tun, wenn Angreifer sich unentdeckt durch Ihr Active Directory hangeln?

Machen wir es mal konkret: Haben Sie sich bei Ihrem Active Directory schon einmal Gedanken über den Angriffsvektor Clients gemacht? Wenn ein Angreifer einmal Kontrolle über einen PC oder über ein lokales administratives Benutzerkonto hat, kann er sich leicht von PC zu PC hangeln – vor allem dann, wenn auf Ihrer administrativen Ebene Passwörter gleich oder ähnlich vergeben sind. Diese Angriffstechnik ist auch als „Lateral Movement“ bekannt. Das beschreibt ein seitliches Bewegen durch Ihr AD/Computer-Netzwerk durch unzureichende Passwortsicherung. 

Durch laterale Bewegungen kann ein Angreifer unentdeckt bleiben, selbst wenn er auf dem Rechner entdeckt wird, der zuerst infiziert wurde. So kann der Datendiebstahl im Zweifel erst Wochen oder sogar Monate nach dem ursprünglichen Einbruch erfolgen.

Ein Blick auf die Checkliste gibt Ihnen hier den Hinweis auf Microsoft LAPS, der „Local Administrator Password Solution“ für Ihr AD. Mit Microsoft LAPS können Sie Passwörter lokaler Administrativer Konten zentral im Active Directory speichern. LAPS vereinfacht aber nicht nur die Passwortverwaltung, sondern unterstützt Sie auch dabei, Abwehrmaßnahmen gegen Cyberangriffe umzusetzen. So wird das Risiko lateraler Bewegungen in Ihrem Computer-Netzwerk deutlich verringert.

Mit dieser Checkliste wird Ihr Active Directory sicherer

Microsoft LAPS ist nur eine von mehreren Basisabsicherungen, die Sie in Ihrem Active Directory nutzen sollten. Damit Sie den Überblick über die wichtigsten Punkte behalten, haben wir Ihnen eine erste Checkliste mit wichtigen Basics für Ihr AD zusammengestellt. Egal ob auf eigene Faust oder gemeinsam mit uns: Hauptsache ist, Sie starten jetzt damit, Ihrem Active Directory die Aufmerksamkeit und Pflege zu schenken, die es verdient.

Zusammengefasst: So sichern Sie Ihr Active Directory ab

  • Bringen Sie eine sinnvolle Struktur in Ihr Active Directory. Nur so können Sie die Übersicht behalten und Richtlinien sinnvoll sowie fehlerfrei anwenden
  • Bringen Sie Ordnung in Ihr Active Directory. Nutzen Sie nur die Konten und Objekte, die Sie auch wirklich verwenden. Entfernen Sie „Karteileichen“. 
  • Halten Sie sich bei der Vergabe von Rechten an das „Prinzip der geringsten Privilegien“. Für alle Konten gilt: So viele Rechte wie nötig, so wenig Rechte wie möglich.
  • Checken Sie Ihr Active Directory regelmäßig entlang der wichtigsten Basisanforderungen. Nutzen Sie dazu eine aktuelle Checkliste, um alle wichtigen Punkte zu berücksichtigen.
  • Gewachsene Strukturen erschweren Ihnen die Umsetzung? Egal. Fangen Sie mit den ersten kleinen Schritten an. Die Bedeutung des Active Directory ist zu groß, um es weiter zu vernachlässigen

 

Jetzt Checkliste herunterladen
Schon gewusst?
In unserem IT-Kompetenzzentrum geben wir unser Expertenwissen multimedial an Sie weiter. Ist ihr Thema nicht dabei? Melden Sie sich gerne.
Jetzt kennenlernen