Tipps und Prozeduren für das Active-Directory-Sicherheitsaudit

Mit einem Active Directory werden konzernweit Benutzerrechte verwaltet. Grund genug, es regelmäßigen Sicherheitsaudits zu unterziehen.

Wenn Sie einen Sicherheitsexperten befragen, welche Informationsquellen am häufigsten genutzt werden, um Zugang...

zu Infrastrukturdiensten und -Anwendungen zu bekommen, so erhalten Sie in der Regel eine der folgenden Antworten: Lightweight Directory Access Protocol (LDAP) oder Active Directory (AD).

Während LDAP ein internationaler Standard ist, der von nahezu allen Verzeichnisanbietern am Markt unterstützt wird, verfügt Active Directory über eine Konzern-Marktdurchdringung, die der sämtlicher LDAP-Anbieter zusammen entspricht (und das, obwohl es von nur einem einzigen Anbieter kommt – nämlich Microsoft). Aus dem ursprünglichen Werkzeug zur Identifikation einiger miteinander verbundener PCs wurde über die Zeit ein erstklassiges Enterprise-Repository.

Der Grad an Komplexität, den heutige Enterprise Repository-Deployments erfordern, lässt IT-Manager Stunden über Stunden in Entwurfs- und Supportaktivitäten investieren, damit die Eigenschaften und Funktionen des Active Directory den Ansprüchen des Unternehmens gerecht werden können. Dabei übersehen nicht wenige IT-Manager die wichtigste Aufgabe: die Sicherheit ihres Active Directory.

Microsofts Verzeichnisdienst verfügt quasi über den Generalschlüssel, was Informationen über Gruppen- und Benutzerkonten angeht. Bei den meisten Organisationen nimmt es eine derartig kritische Rolle ein, dass bei einem Ausfall des Active Directory kaum noch jemand Zugriff auf die Dienste hätte, die er zur Erfüllung seiner täglichen Arbeit benötigt.

Aber welcher ist nun der beste Weg, um zu überprüfen, ob eine Active-Directory-Infrastruktur ausreichend sicher ist? Ein regelmäßig durchgeführtes Security-Audit ist unerlässlich um zu gewährleisten, dass das Active Directory stets angemessen verwaltet und geschützt ist. 

Dabei bedarf es auf Seite der Auditoren zwingend eines guten Verständnisses dessen, welche Bereiche von zentraler Bedeutung für die Sicherheit eines Active Directory sind, und wonach sie Ausschau halten müssen. Die nachfolgende Liste soll dafür eine Handreichung bieten:

Richtlinien und Architektur: Für ein Active Directory benötigen Sie, wie für alle anderen Unternehmensdienste, einen langfristigen Management-Plan. Auditoren sollten wohldokumentierte Richtlinien und Architekturen vorfinden, die transparent darlegen, welche Information dem Active Directory zuzuordnen ist, wer darauf Zugriff hat, welche Funktion das Active Directory in der Organisation hat und auf welche Weise architektonische Änderungen implementiert und dokumentiert werden.

Physischer Standort: Auf der einfachsten Ebene umfasst die Sicherheit eines Active-Directory-Servers und seiner Domain-Controller die Frage, wo deren physische Maschinen räumlich untergebracht sind. Ob in professionellen Data Centern oder abgeschlossen in einem Stahlschrank: Die Server sollten vor Diebstahl sicher sein. Unternehmen, die Active-Directory-Server unter Schreibtische oder an anderen offen zugänglichen Orten platzieren, haben bereits ein grundlegendes Sicherheitsproblem mit ihrem Deployment.

Verteiltes Deployment: Die kritische Rolle, die Active Directory in der Zugangsgewährung zu Systemen und Diensten spielt, rechtfertigt es, Active-Directory-Kataloge auf verschiedene Standorte des Unternehmens zu verteilen. Auch wenn es vorrangig einer architektonischen Projektplanung bedarf, um im konkreten Fall die sinnvollsten Standorte festzulegen, sind etwa Niederlassungen mit geringer WAN-Konnektivität, mit besonders hoher Nutzerzahl oder die physische Nähe identitätsbasierenden Zugriffsdiensten auf AD-Basis besonders geeignet. 

Auch bedarf es zwischen den einzelnen Servern eines guten Replikationsdienstes, um die Auswirkungen möglicher DoS-Angriffe (Denial of Service) minimal zu halten. Active-Directory-Server, die nahe an den Nutzern platziert werden, die ihre Dienste in Anspruch nehmen, sind Garanten für geringere Ausfallzeiten im Fall von Netzwerk- oder Stromausfällen.

Administrativer Zugang: Als Organisation sollten Sie den Vorteil nutzen, über die mehrstufigen Administrator-Zugriffsdienste von Active Directory administrative Funktionen und administrative Privilegien auf den tatsächlichen Bedarf zuzuschneiden. Auditoren sollten darauf achten, dass ein unbeschränkter Zugang nur wenigen ausgewählten Administratoren zur Verfügung steht, die für die Konfiguration der Server und deren Interoperabilität ebenso verantwortlich sind wie für Schema-Management. 

Personen, die eingeschränkte administrative Aufgaben haben, etwa das Zurücksetzen von Kennwörtern durch den Helpdesk, sollten auch keinen darüber hinausgehenden administrativen Zugang erhalten. Und für das Anlegen, Löschen und Ändern von Benutzerkonten sollte noch nicht einmal ein Mensch, sondern ein automatisiertes Tool eingesetzt werden, um sowohl Fehlermöglichkeiten zu verringern als auch die Sicherheit sensitiver Daten zu garantieren.

Active-Directory-Gruppen: Active-Directory-Gruppen sind nützlich für die Dienstzugangsverwaltung auf Makroebene. Indem ein Nutzer einer Gruppe hinzugefügt wird, erhält dieser automatisch alle Privilegien der Gruppe. Das Verwalten von Active-Directory-Gruppen entstand ursprünglich ganz organisch: Gruppen wurden „im Vorübergehen“ angelegt, ohne dass besondere Dokumentation oder sonderlich viele Einschränkungen eingesetzt worden wären. 

Dieses Vorgehen führte dazu, dass später hinzukommende Administratoren wenig bis nichts über den ursprünglichen Zweck der so angelegten Gruppen wussten. Deshalb wucherte die Anzahl an AD-Gruppen in einer Weise, dass ihrer kaum noch Herr zu werden war. Auf solche Szenarien zu achten ist ein Muss für Auditoren. Sie sollten bei ihrer Prüfung der Active-Directory-Gruppen auf klare, wohldefinierte Prozesse für den Umgang mit diesen Gruppen achten. 

Zudem sollte die Dokumentation Angaben darüber enthalten, wer der Verantwortliche für die Gruppe ist, für welche Projekte die Gruppe angelegt worden ist oder sein könnte, wie lange die Gruppe gültig sein soll, welche Zugriffsrechte eine Mitgliedschaft in der Gruppe gewährt und welche anderen Active-Directory-Gruppen mit dieser in Verbindung stehen und möglicherweise zusätzliche Zugriffsrechte verursachen.

Schemakonfiguration: Active Directory speichert Informationen in einem baumartig verzweigten Katalogschema. Benutzer und Gruppen erhalten Zugriffsrechte auf Basis ihres Platzes in der Hierarchie und der Zugriffslisten (Access Control Lists – ACL) für die unterschiedlichen Container sowie letztlich auch durch Zugriffsrechte-Objekte (Lesen, Schreiben, Ausführen, Löschen). Auditoren sollten das Layout des Katalogschemas in Augenschein nehmen sowie die damit assoziierten ACLs, um eine konfigurationsbedingt ausreichende Trennung von anderen Gruppen oder Benutzer und den Schutz derer Informationen zu gewährleisten.

Hochautomatisierte Kontenverwaltung: Wie oben schon erwähnt, verwenden inzwischen die meisten Organisationen automatisierte Provisionierungswerkzeuge für die Verwaltung von Active-Directory-Konten. Dass diese automatisiert arbeiten bedeutet dabei allerdings noch nicht, dass sie auch gut arbeiten oder gut automatisiert sind. 

Im Auge behalten sollten Auditoren wohldefinierte Prozesse für Kontoanfragen und durchdachte Regeln innerhalb der Provisionierungswerkzeuge zwecks Zuweisung der korrekten Privilegien.

Außerdem sollte der Zugriff immer mit den korrekten Workflows gewährt werden, wenn Vorgesetzte des Benutzers oder Eigentümer der betroffenen Ressource ihr Einverständnis geben müssen. Zusätzlich gehört es zu den Aufgaben eines Auditors, auf das zeitnahe Deaktivieren oder Löschen über längere Zeit nicht mehr benutzter und auch nicht mehr benötigter Konten zu achten. 

Letztlich sollte die Organisation einen „Re-Zertifizierungsprozess“ etablieren, in dessen Zuge Vorgesetzte oder Administratoren regelmäßig die Zugriffsrechte der Personen in ihrem Verantwortungsbereich bekräftigen und bestätigen müssen, dass diese Personen für die ihnen gestellten Aufgaben die vergebenen Rechte tatsächlich weiterhin benötigen.

Active-Directory-Integration: Wenngleich die obige Liste eine Reihe Active-Directory-spezifischer Anforderungen für den Schutz des Repositories aufzeigt, bleibt der Umstand zu bedenken, dass viele Anwendungen und Server im Bestand bis heute keine direkte Active-Directory-Anbindung aufweisen und entsprechend mit den Daten des Active Directory synchronisiert werden müssen. Dazu müssen Informationen aus dem Active Directory extrahiert und elektronisch an die anderen Anwendungen und Server weitergereicht werden, wo diese Informationen dann auf dem Empfängersystem lokal abgelegt wird. 

Auditoren sollten in Erfahrung bringen, ob solche Datenübertragungen tatsächlich noch benötigt werden, oder ob es nicht inzwischen neuere Methoden gibt, mit deren Hilfe die Anwendungen und Server sich direkt mit dem Active Directory verbinden können, statt dessen Information kopieren zu müssen. Sichergestellt sein sollte auch, dass Active-Directory-Informationen im Rahmen einer lokalen Anwendung oder eines lokalen Servers derselben Zugriffskontrolle unterliegen wie im Active Directory. 

Schließlich ist es noch Aufgabe eines Auditors, zu gewährleisten, dass Active-Directory-Informationen vom empfangenden System nicht an andere Anwendungen oder Server weitergeleitet werden, um so sicherzustellen, dass die Information direkt zu den Servern und Anwendungen zugeordnet werden kann, die diese verarbeiten.

Microsoft Active Directory hat sich vom abteilungsweiten PC-Steuerungsinstrument zu einem vollwertigen Konzernverzeichnis entwickelt. Während in der Anfangsphase die Active-Directory-Deployments nur im Radarschatten der meisten Auditoren stattfanden, ist der Verzeichnisdienst aufgrund seiner wachsenden Bedeutung als Zugriffskontrolle heute eindeutig im Blickfeld von Sicherheitsabteilungen und Auditoren angekommen. 

Das ist auch, gleichwohl sich die Active-Directory-Sicherheit selbst um ein Vielfaches verbessert hat, vollkommen berechtigt. Angesichts der Bedeutung der von Active Directory verwalteten Zugriffsdienste ist kein Unternehmen mehr bereit, dem Schlüssel zum Allerheiligsten den notwendigen Aufwand für eine ausreichende Sicherheit zu versagen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Februar 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Identity-Management: Technologie und Strategie

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close