Active Directory-Sicherheit

Es ist wichtig, sich bewusst zu machen, dass Active Directory-Sicherheit zwar in engem Zusammenhang mit der Compliance steht, es aber zwei unterschiedliche Dinge sind. Viele Compliance-Bestimmungen umfassen Anforderungen, die sich direkt auf AD-Sicherheitsrichtlinien und Verfahren auswirken, diese Vorgaben betreffen aber oft auch viele andere Bereiche, z. B. den physischen Zugang zu Bürogebäuden, die Schulung von Mitarbeitern und die Verantwortung von Führungskräften. Andererseits beinhaltet umfassende AD-Sicherheit weitaus mehr als das bloße Erreichen von Compliance mit einer oder mehreren Bestimmungen.

Die Active Directory-Sicherheit ist ein wesentlicher Bestandteil vieler Compliance-Bestimmungen, unter anderem der DSGVO sowie des CCPA, HIPAA, SOX und PCI-DSS. Unzureichende Active Directory-Sicherheit kann viele unangenehme Folgen haben, z. B. hohe Bußgelder von Aufsichtsbehörden, Haftstrafen für Führungskräfte, die Unfähigkeit zum Verarbeiten von Kreditkartentransaktionen und die Beeinträchtigung des Kundenvertrauens.

Active Directory-Sicherheitsrisiken sind hauptsächlich auf fehlende Einblicke in und Kontrolle über drei Schlüsselfaktoren zurückzuführen: Wer gelangt in Ihr Netzwerk, was kann die Person dort tun und welche Aktivitäten werden eigentlich ausgeführt? Einige dieser Sicherheitsrisiken haben eigene Namen, z. B. Insider-Bedrohungen, Spear-Phishing, Rechteausweitung und Lateral Movement. Die beste Option zum Bewältigen von AD-Sicherheitsrisiken besteht jedoch nicht darin, alles einzeln anzugehen. Durch diesen wahllosen Ansatz werden nur die Kosten in die Höhe getrieben und die IT-Systemkomplexität gesteigert. Im Grunde wird das Problem dadurch nicht gelöst, sondern noch verschlimmert.

Die beste Strategie besteht stattdessen darin, Ihr Active Directory zu bereinigen, beständige Ordnung darin sicherzustellen und sich klare Einblicke in die Aktivitäten in der gesamten IT-Umgebung zu verschaffen. Die nativen Tools bieten nur einen Bruchteil der Funktionen, die Sie benötigen, und ihre Nutzung ist sehr zeitaufwendig und mühselig. Daher empfiehlt es sich, in umfassende Lösungen zu investieren, die die für Active Directory-Sicherheit erforderlichen Kernprozesse automatisieren und vereinfachen.

Wie bereits erwähnt, ist das Least-Privilege-Prinzip die wichtgste Best Practice für IT-Sicherheit. Wenn Sie jedem Benutzer manuell Berechtigungen für die einzelnen Ressourcen zuweisen und auch noch dafür sorgen müssten, dass diese Berechtigungen bei wechselnden Benutzern und Übernahme neuer Rollen im Unternehmen auf dem aktuellen Stand bleiben, wären Sie in kürzester Zeit überfordert und für Ihr Unternehmen würde ein hohes Risiko mit Blick auf Datensicherheitsverletzungen und Compliance-Verstöße bestehen.

Durch die Möglichkeit, AD-Sicherheitsgruppen zu erstellen und Berechtigungen für ähnliche Benutzer zusammen zu verwalten, wird diese Last reduziert. Benutzer können mehreren AD-Gruppen angehören (das ist in der Regel auch der Fall), beispielsweise projektbasierten Gruppen. Einem neuen Vertriebsmanager kann beispielsweise Zugriff auf alle erforderlichen Ressourcen gewährt werden, indem er der Sicherheitsgruppe „Vertrieb“ und der Sicherheitsgruppe „Vertriebsmanager“ hinzugefügt wird. Wenn es neue Ordner oder Dateifreigaben gibt, auf die alle Vertriebsmitarbeiter Zugriff haben müssen, können Sie der Gruppe „Vertrieb“ einfach Zugriff darauf gewähren, statt alles einzeln zu den individuellen Benutzerkonten hinzuzufügen. Das funktioniert auch andersherum: Wenn ein Benutzer von einer Vertriebsrolle in eine andere Position im Unternehmen wechselt, können Sie ihm den Zugriff auf alle Vertriebsressourcen schnell entziehen, indem Sie ihn aus der Gruppe „Vertrieb“ entfernen. So müssen Sie nicht akribisch sämtliche Ressourcen durchgehen, für die der Benutzer Berechtigungen hat, und ermitteln, ob der Zugriff noch legitim ist.

Die Verwendung von AD-Sicherheitsgruppen ist nicht einfach nur praktisch für Administratoren, sondern erhöht auch die Sicherheit durch Reduzierung von Fehlern bei der Provisionierung und Deprovisionierung sowie durch Minimierung der Komplexität der Berechtigungsstruktur, sodass leichter mit Gewissheit ermittelt werden kann, wer worauf Zugriff hat.

Besonders wichtig sind Active Directory-Sicherheitsgruppen, mit denen Administratorberechtigungen gewährt werden, z. B. die über umfangreiche Berechtigungen verfügenden Gruppen der Unternehmensadministratoren, Domänenadministratoren und Schemaadministratoren sowie das lokale Administratorkonto, das bei der Installation von Windows erstellt wird und umfassende Kontrolle über die Dateien, Verzeichnisse, Services und anderen Ressourcen auf dem lokalen Computer hat. Organisationen müssen genau überwachen, wer zu diesen Gruppen mit privilegiertem Zugriff gehört und mitgliedschaftsbezogene Änderungen genau im Auge behalten, denn das könnte auf einen Angreifer oder böswilligen Insider hindeuten, der versucht, seine Berechtigungen auszuweiten, um Zugriff auf weitere Systeme oder Daten zu erhalten.

Servicekonten sind spezielle Benutzerkonten, die Anwendungen und Services nutzen, um sich anzumelden und Aktionen in Ihrer IT-Umgebung auszuführen. Leider verfügen Servicekonten oft über weitaus mehr Berechtigungen als eigentlich erforderlich, wodurch Ihre Sicherheitsrisiken steigen. Zu den häufigen Gründen für eine übermäßige Provisionierung gehört das blinde Annehmen der vom Anwendungsanbieter angegebenen Anforderungen, fehlende Sorgfalt bei der Bewältigung betrieblicher Herausforderungen und das einfache Klonen vorhandener Services, statt sich die Zeit zu nehmen, neue Services mit den richtigen Berechtigungen zu erstellen.

Best Practice ist es natürlich, sicherzustellen, dass für alle Servicekonten das Least-Privilege-Prinzip Anwendung findet. Sie müssen auch besondere Vorsichtsmaßnahmen ergreifen, wenn ein Servicekonto Administratorberechtigungen benötigt. Ein Servicekonto sollte niemals in eine Standard-Administratorgruppe aufgenommen werden, z. B. in die Gruppe der lokalen Administratoren oder der Domänenadministratoren. Bessere Optionen sind das Ausführen des Service unter dem LocalSystem-Konto oder die Erstellung einer benutzerdefinierten Gruppe für das Servicekonto und explizite Verweigern des Zugriffs auf andere Konten für diese Gruppe. Außerdem ist es ratsam, Servicekonten nach Möglichkeit so zu konfigurieren, dass sie sich nur während eines bestimmten Zeitraums am Tag anmelden können.