Vladislav Kochelaevs - Fotolia
Schritt-für-Schritt-Anleitung: Active Directory absichern
Sichere Kennwörter, geschützte Admin-Konten und abgesicherte Domänencontroller spielen eine wichtige Rolle bei der Sicherheit des Active Directory.
Das Active Directory ist bei vielen Unternehmen der zentrale Bereich, über den sich Anwender authentifizieren.
Viele Cloud-Dienste und Nicht-Microsoft-Anwendungen nutzen den Verzeichnisdienst ebenfalls. Es ist daher empfehlenswert, diese Umgebung so sicher wie möglich zu konfigurieren.
Administrator-Konten und -Arbeitsstationen absichern
Der wichtigste Schritt zur Absicherung in Active Directory besteht darin, dass Administratoren einige Vorgehensweisen berücksichtigen, um die Administrator-Konten zu schützen. Denn gelangen die Zugangsdaten und -Rechte von Administrator-Konten in die falschen Hände, profitieren die Angreifer besonders, da sie alle Änderungen im Netzwerk vornehmen können, die sie wollen. Mit einigen grundsätzlichen Herangehensweisen lässt sich das verhindern.
Zunächst sollten für verschiedene Bereiche im Netzwerk auch unterschiedliche Administrator-Konten verwendet werden. Natürlich sollten die Anmeldenamen nicht gleich auf ein Administrator-Konto schließen lassen, und das Kennwort muss entsprechend gesichert sein.
Administratoren sollten die jeweiligen Konten nur für die Verwaltung nutzen. Für die tägliche Arbeit sollten keine Administrator-Konten eingesetzt werden. Außerdem sollten Administratoren bei der täglichen Arbeit mit anderen Arbeitsstationen arbeiten, als bei der Verwaltung des Netzwerks. Die Computer zur Verwaltung sollten nur zur Verwaltung genutzt werden und auch über keine Verbindung zum Internet verfügen.
Kennwörter der Anwender sicherer gestalten
Microsoft bietet über Gruppenrichtlinien die Steuerung der Kennwörter von Anwendern sowie die Möglichkeit, Konten zu sperren, wenn zu viele Anmeldeversuche erfolglos waren. Die Einstellungen sollten überprüft und optimiert werden, um die Sicherheit zu verbessern. Generell sollten Sie ständig überprüfen, welche Benutzer im Active Directory nicht mehr aktiv sind.
Der beste Schutz für Kennwörter in Active Directory besteht zunächst darin, nicht mehr notwendige Konten zu entfernen. Dazu verwenden Sie auf dem Domänencontroller den Befehl:
dsquery user -inactive <Anzahl der Wochen>
So erkennen Sie auf einem Blick welche Benutzerkonten nicht mehr aktiv sind. Die grundlegenden Einstellungen der Kennwörter sind bei Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien zu finden.
Die wichtigsten Einstellungen für mehr Sicherheit von Kennwörtern sind im Bereich Computerkonfiguration\<Richtlinien>\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen zu finden. Mit der Richtlinie Interaktive Anmeldung: Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern wird festgelegt, wie viele Tage vor dem Ablauf eines Kennwortes die Anwender bereits eine Meldung erhalten, um ihr Kennwort zu ändern.
Domänencontroller absichern
Domänencontroller, die sich nicht an sicheren Standorten und geschützten Rechenzentren befinden, sollten besonders gesichert werden. Hierfür bietet Microsoft die schreibgeschützten Domänencontroller.
Diese speichern nur die Kennwörter der Anwender, denen Administratoren über Gruppen das Recht dazugeben. Änderungen sind an diesen Domänencontrollern nicht möglich, und beim Entfernen eines solchen Domänencontrollers kann sichergestellt werden, dass alle Benutzer, deren Daten auf dem Server gespeichert sind, ihr Kennwort ändern müssen.
Objekte vor dem Löschen sichern
Unter Windows Server 2016 lassen sich Active-Directory-Objekte vor dem versehentlichen Löschen schützen. Dieser Schutz ist standardmäßig aktiviert. Nachdem über das Menü Ansicht in Active Directory-Benutzer und -Computer die erweiterte Ansicht aktiviert wurde, ist auf der Registerkarte Objekt das Kontrollkästchen Objekt vor zufälligem Löschen schützen zu finden.
Diese Option steuert die Berechtigungen auf der Registerkarte Sicherheit. Der Gruppe Jeder wird der Eintrag Löschen verweigert. Dadurch wird das Löschen von wichtigen Objekten schnell und einfach verhindert. Soll ein Objekt dennoch gelöscht werden, kann ein Administrator den Haken einfach entfernen.
Active-Directory-Papierkorb aktivieren
Werden Objekte trotz mehr Sicherheit und Löschschutz gelöscht, lassen sich diese aus dem Active-Directory-Papierkorb wiederherstellen. Dieser muss aber zuerst aktiviert werden. Die Funktionsebene „Windows Server 2008 R2“ ist für die Unterstützung des Active-Directory-Papierkorbs notwendig. Grundlage zur Wiederherstellung von AD-Objekten ist der Papierkorb von Active Directory, der zunächst für die Gesamtstruktur aktiviert werden muss. Diesen Vorgang nehmen Administratoren über das Kontextmenü der Gesamtstruktur auf der linken Seite der Konsole im Active-Directory-Verwaltungscenter vor. Der Papierkorb kann auch in der PowerShell aktiviert werden. Der Befehl dazu am Beispiel der Domäne contoso.com lautet:
Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope ForestOrConfigurationSet -Target 'contoso.com'
Der Papierkorb arbeitet mit den Werten isDeleted und isRecycled. Ist der Wert isRecycled für ein Active-Directory-Objekt auf True gesetzt, kann dieses nicht mehr wiederhergestellt werden. Nur Objekte, bei denen isDeleted auf True gesetzt ist, lassen sich restaurieren. Objekte lassen sich innerhalb der Tombstone-Lifetime wiederherstellen. Dies ist unter Windows Server 2016 ein Zeitraum von 180 Tagen.
Microsoft veröffentlicht im TechNet ausführliche Anleitungen, um das Active Directory möglichst sicher zu gestalten.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!