pathdoc - stock.adobe.com
Mit bewährten Verfahren das Active Directory absichern
In Firmen ist das Active Directory oft das Rückgrat, wenn es um Nutzerkonten oder Berechtigungen geht. Damit ist es ein begehrtes Angriffsziel und erfordert eine solide Security.
Der Verzeichnisdienst Active Directory (AD) bildet das zentrale Nervensystem in Windows-Umgebungen, die nach wie vor auf dem Weltmarkt dominieren. Hier werden unter anderem Benutzerkonten, Geräte, Programme, Richtlinien und Berechtigungsvergaben gesteuert. Der Grund, warum sich AD seit seiner Schöpfung um die Jahrtausendwende, also seit mehr als zwanzig Jahren, hält, ist hauptsächlich auf die relativ einfache Handhabung und zentralisierte Verwaltung zurückzuführen. Doch genau diese Kombination macht Active Directory auch zu einem begehrten Angriffsziel für Cyberkriminelle. Einerseits bietet es genügend Schwachstellen, die sich Hacker zunutze machen können, um einzudringen, und andererseits sind hier viele sensible Daten gebündelt vorzufinden, die man abgreifen kann, um so dem Unternehmen Schaden zuzufügen.
Trotz der einfachen Bedienung ist Active Directory zugleich komplex: tausende Einstellungen müssen verwaltet und überwacht werden, Millionen von Aktionen finden jeden Tag im System statt. Je nach Datenmenge kann es dabei für IT-Administratoren schnell unübersichtlich werden, wo sich welche Daten befinden und wer Zugriff darauf hat. Hat es ein Angreifer erst einmal ins Innere geschafft, kann er sich inmitten des Datenmeers still und unbemerkt weiterbewegen, um weitere Benutzerkonten zu kapern und somit an noch mehr sensible Daten heranzukommen – und dies gilt es zu verhindern.
Welche Schwachstellen bietet Active Directory?
Manche Schwachstellen im Active Directory sind technischer Natur, andere lassen sich auf eine löchrige Konfiguration oder falsche Anwendung durch Benutzer und Administratoren zurückführen. So gilt zwar Kerberos beispielsweise als sichere Authentifizierungsmethode, trotzdem bringt die breitflächige Nutzung des Dienstes auch einiges an Angriffsfläche mit sich:
- Golden-Ticket-Angriff
- Silver-Ticket-Angriff
- Pass-the-Ticket-Angriff
- Pass-the-Hash-Angriff
Auch die Unterstützung von Legacy-Features wie NTLM-Authentifizierung ist eine Schwachstelle. Obwohl seit Windows 2000 durch Kerberos abgelöst, wird die Nutzung von NTLM nach wie vor von Active Directory unterstützt, was den heutigen Sicherheitsstandards nicht mehr entspricht.
„Viele Schwachstellen haben mit einer übermäßigen Privilegierung von Konten zu tun, die sich Angreifer zunutze machen können. Prinzipiell gilt: je mehr Zugang ein Konto hat, desto gefährlicher ist es für die Datensicherheit eines Unternehmens.“
Helmut Semmelmayer, tenfold
Zu den Schwachstellen, die sich aus einer mangelhaften Konfiguration oder falscher Anwendung durch Benutzer ergeben, zählen:
- Schwache Passwortrichtlinien und Passwörter (zu kurz, zu einfach)
- Zu viele Admin-Konten mit zu vielen Berechtigungen
- Benutzer ohne Admin-Status mit Zugang zu privilegierten Gruppen (zum Beispiel Domänen-Admins)
- Ebenso Dienstkonten, die als Domänen-Admins konfiguriert sind
- Unwissenheit darüber, welche User welche Berechtigungen haben
- Verwaiste oder inaktive Benutzerkonten
In erster Linie ist es wichtig, die Schwachstellen des Active Directory zu kennen und zu verstehen, um angemessene Gegenmaßnahmen implementieren und so Active Directory gut gegen Eindringlinge absichern zu können.
Best Practices zur Absicherung von Active Directory
Mit den folgenden sieben Maßnahmen lässt sich die Sicherheit des Active Directory verbessern.
- Regelmäßige Durchführung von Updates und Patches.
- Least-Privilege-Prinzip implementieren – kein Benutzer darf mehr Berechtigungen haben als notwendig, um seine Arbeit verrichten zu können. Das heißt auch: Berechtigungen wieder entziehen, sobald sie nicht mehr benötigt werden (zum Beispiel bei projektbezogener Arbeit).
- Monitoring: Kontrollieren und beobachten Sie das Verhalten Ihrer Benutzer, um auffällige Aktionen zu entlarven, wie zum Beispiel unübliche Anmeldezeiten oder Login-Versuche von fremden Orten.
- Eine starke Passwortrichtlinie implementieren: Passwörter müssen einer Mindestlänge entsprechen und aus Buchstaben, Zahlen und Sonderzeichen bestehen. Auch der eigene Name beziehungsweise Benutzername sollte im Passwort nicht enthalten sein (auch nicht teilweise).
- Mitarbeiterschulungen: Wie gehe ich mit sensiblen Daten um? Mit wem darf ich diese teilen? Darf ich auf einen externen Link klicken? Die IT-Sicherheit Ihres Unternehmens hängt zu einem sehr großen Teil davon ab, ob Ihre Mitarbeiter und Mitarbeiterinnen wissen, wie sie mit externen Links und dem Zugang zu sensiblen Daten umzugehen haben.
- Verwendung von Gruppenrichtlinien, um Objekte im Active Directory zu steuern und so zum Beispiel die Möglichkeiten zur Installation von Software einzuschränken. Gruppenrichtlinien sollten überwacht werden, um sicherzustellen, dass sie korrekt konfiguriert sind.
- Deaktivierung von unnötigen Protokollen und Diensten, um die Angriffsfläche zu minimieren.
Fazit
Viele Schwachstellen haben mit einer übermäßigen Privilegierung von Konten zu tun, die sich Angreifer zunutze machen können. Prinzipiell gilt: je mehr Zugang ein Konto hat, desto gefährlicher ist es für die Datensicherheit eines Unternehmens. Schafft es ein Hacker, zum Beispiel über Phishing, sich Zugang zu einem Benutzerkonto zu verschaffen, das weitläufigeren Zugriff auf Daten hat, als es haben sollte, so bekommt auch der Hacker Zugriff auf diese Daten. Schränkt man hingegen die Berechtigungen des Kontos ein, so sind auch die Möglichkeiten des Eindringlings entsprechend limitiert – auch wenn er es schafft, das Konto zu kapern.
Auf Seiten der Administratoren ist es daher wichtig, einen bestmöglichen Überblick über die Berechtigungssituation im Unternehmen zu haben. Da Microsoft selbst hier nur bedingt Möglichkeiten zu Verfügung stellt, ist es empfehlenswert, sich nach externen Lösungen für ein besseres Berechtigungsmanagement umzusehen.
Über den Autor:
Helmut Semmelmayer ist VP Revenue Operations bei tenfold. Bei dem IAM-Entwickler hilft der IT-Sicherheitsexperte Unternehmen dabei Zugriffsrechte sicher und effizient zu verwalten.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.