Für ein bestmögliches Web-Erlebnis verwenden Sie IE11+, Chrome, Firefox oder Safari.

Active Directory-Sicherheit

Absicherung von AD und Gewährleistung von Compliance – Best Practices

Current state of AD security 03:01

Der aktuelle Stand der AD-Sicherheit

Active Directory-Sicherheit wird oftmals als eine Überwachungsmethode für die Schlüssel zu Ihrem IT-Schloss beschrieben. Diese Metapher ist nicht ganz aus der Luft gegriffen, deckt aber nicht alle Aspekte ab, die zu berücksichtigen sind. Active Directory fungiert zwar als Pförtner, der bestimmt, wer über welche Schlüssel für den Zugriff auf Ihr Netzwerk verfügt und welche Daten und anderen Ressourcen mit diesen Schlüsseln zugänglich sind. Doch anders als ein Steinbau ist Ihre IT-Umgebung ein sehr dynamischer Ort mit ständig wechselnden Benutzern, Mitarbeitern, die neue Rollen übernehmen, neuen Anwendungen, die hinzugefügt werden, anderen Anwendungen, die entfernt werden, usw. Daher ist die Active Directory Sicherheit auch nichts, was einmal erledigt wird und worum man sich dann nicht mehr kümmern muss – eben nicht wie das Tauschen der Schlösser eines Schlosstors. Es ist vielmehr ein fortlaufender Prozess.

Lesen Sie weiter und entdecken Sie weitere Tipps zum Absichern Ihres Active Directory.

Ein Balanceakt

Ein Balanceakt

Ein Balanceakt

Die Active Directory-Sicherheit ist ein heikler Balanceakt. Wenn wir bei der Schlossmetapher bleiben: Ein König oder eine Königin können ihren Untertanen nach Belieben Sicherheitsmaßnahmen vorschreiben. IT-Experten müssen aber die Geschäftsanforderungen genau im Blick behalten. Wenn Sicherheitsmaßnahmen zu beschwerlich sind, werden wichtige Geschäftsprozesse verlangsamt und talentierte Mitarbeiter ergreifen die Flucht. Es ist beispielsweise wichtig, sicherzustellen, dass nur die richtigen Personen Zugriff auf die medizinischen Daten anderer haben – genauso wichtig ist es aber, dafür zu sorgen, dass medizinisches Personal die Diagnosen und Verschreibungen eines Patienten schnell genug sehen kann, um ihn richtig zu behandeln. Außerdem finden Benutzer Wege, um übermäßig lästige Sicherheitsmaßnahmen zu umgehen. Wenn Sie ihnen z. B. vorschreiben, dass sie komplexe Kennwörter erstellen sollen, die alle 30 Tage geändert werden müssen, werden Sie sehr schnell Haftnotizen auf den Schreibtischen finden, was Ihr Ziel untergräbt, die Konten der Benutzer vor unbefugtem Zugriff zu schützen.

Sicherheit vs. Compliance

Sicherheit vs. Compliance

Sicherheit vs. Compliance

Es ist wichtig, sich bewusst zu machen, dass Active Directory-Sicherheit zwar in engem Zusammenhang mit der Compliance steht, es aber zwei unterschiedliche Dinge sind. Viele Compliance-Bestimmungen umfassen Anforderungen, die sich direkt auf AD-Sicherheitsrichtlinien und Verfahren auswirken, diese Vorgaben betreffen aber oft auch viele andere Bereiche, z. B. den physischen Zugang zu Bürogebäuden, die Schulung von Mitarbeitern und die Verantwortung von Führungskräften. Andererseits beinhaltet umfassende AD-Sicherheit weitaus mehr als das bloße Erreichen von Compliance mit einer oder mehreren Bestimmungen.

Die Active Directory-Sicherheit ist ein wesentlicher Bestandteil vieler Compliance-Bestimmungen, unter anderem der DSGVO sowie des CCPA, HIPAA, SOX und PCI-DSS. Unzureichende Active Directory-Sicherheit kann viele unangenehme Folgen haben, z. B. hohe Bußgelder von Aufsichtsbehörden, Haftstrafen für Führungskräfte, die Unfähigkeit zum Verarbeiten von Kreditkartentransaktionen und die Beeinträchtigung des Kundenvertrauens.

Die entscheidende Rolle der Sicherheit

Die entscheidende Rolle der Sicherheit

Die entscheidende Rolle der Sicherheit

Da AD eine derart wichtige Rolle in Ihrer IT-Infrastruktur spielt, muss das Gewährleisten der Active Directory-Sicherheit eine Hauptpriorität sein. AD kontrolliert buchstäblich, wer in Ihr Netzwerk gelangen und was die Person dort dann tun kann. Ohne beständig hohe AD-Sicherheit vergrößert sich das Risiko, dass Benutzer auf Daten und Anwendungen zugreifen, die sie eigentlich nicht nutzen können sollten – ob bewusst oder versehentlich. Außerdem erhöht sich dann die Gefahr, dass Angreifer und Malware die Kontrolle über das Konto eines Benutzers – oder schlimmer noch, eines Administrators – übernehmen, um Ihre sensiblen Daten zu stehlen, sie zum Erpressen von Lösegeldern zu verschlüsseln oder einfach Chaos in Ihren IT-Systemen zu verursachen. Schon ein einziger erfolgreicher Angriff auf Ihr Active Directory kann langfristigen Schaden für Ihr Unternehmen verursachen oder den Geschäftsbetrieb sogar komplett lahmlegen.

Was sind die häufigsten Active Directory-Sicherheitsrisiken?

Was sind die häufigsten Active Directory-Sicherheitsrisiken?

Was sind die häufigsten Active Directory-Sicherheitsrisiken?

Active Directory-Sicherheitsrisiken sind hauptsächlich auf fehlende Einblicke in und Kontrolle über drei Schlüsselfaktoren zurückzuführen: Wer gelangt in Ihr Netzwerk, was kann die Person dort tun und welche Aktivitäten werden eigentlich ausgeführt? Einige dieser Sicherheitsrisiken haben eigene Namen, z. B. Insider-Bedrohungen, Spear-Phishing, Rechteausweitung und Lateral Movement. Die beste Option zum Bewältigen von AD-Sicherheitsrisiken besteht jedoch nicht darin, alles einzeln anzugehen. Durch diesen wahllosen Ansatz werden nur die Kosten in die Höhe getrieben und die IT-Systemkomplexität gesteigert. Im Grunde wird das Problem dadurch nicht gelöst, sondern noch verschlimmert.

Die beste Strategie besteht stattdessen darin, Ihr Active Directory zu bereinigen, beständige Ordnung darin sicherzustellen und sich klare Einblicke in die Aktivitäten in der gesamten IT-Umgebung zu verschaffen. Die nativen Tools bieten nur einen Bruchteil der Funktionen, die Sie benötigen, und ihre Nutzung ist sehr zeitaufwendig und mühselig. Daher empfiehlt es sich, in umfassende Lösungen zu investieren, die die für Active Directory-Sicherheit erforderlichen Kernprozesse automatisieren und vereinfachen.

Best Practices für Active Directory Sicherheit

Active Directory gibt es schon lange. Daher sind auch ohne Weiteres Best Practices verfügbar, die die AD-Sicherheit und -Compliance erwiesenermaßen deutlich verbessern. Durch die Implementierung der folgenden Best Practices kommen Sie Ihrem Ziel, die Risiken für Ihre Daten und IT-Systeme – sowie für den künftigen Erfolg Ihres Unternehmens – zu minimieren, schon ein gutes Stück näher.

Regelmäßige Überprüfung

Regelmäßige Überprüfung

Regelmäßige Überprüfung

Eine der wichtigsten Best Practices für Active Directory-Sicherheit ist das regelmäßige Überprüfen des Zustands Ihrer IT-Umgebung und das proaktive Ausschauhalten nach potentiellen Sicherheits- und Compliance-Problemen. Insbesondere sollten Sie regelmäßig die Konfigurationseinstellungen auf Ihren Windows-Endpunkten, Domänencontrollern und anderen IT-Systemen mit einem nachweislich einwandfreien Zustand vergleichen und jegliche unbeabsichtigten Abweichungen oder böswilligen Änderungen dann unmittelbar korrigieren.

Außerdem empfiehlt sich eine regelmäßige Überprüfung Ihrer Gruppenrichtlinie, die zum Anwenden von Standardeinstellungen über Ihre Benutzer und Computer hinweg verwendet wird. Die Gruppenrichtlinie kann zum Steuern einer breiten Palette von Aktivitäten verwendet werden. Sie können damit beispielsweise verhindern, dass Benutzer auf die Systemsteuerung zugreifen, die Eingabeaufforderung nutzen oder Software installieren. Bereits eine einzige unangemessene Änderung an einem Gruppenrichtlinienobjekt (ob absichtlich oder versehentlich) kann immensen Schaden anrichten. Benutzer könnten beispielsweise plötzlich in der Lage sein, USB-Laufwerke einzustecken und damit Ransomware oder andere Malware auf Ihre Systeme loszulassen. Daher müssen Sie sicherstellen, dass Ihre Gruppenrichtlinienobjekte wie beabsichtigt funktionieren, und imstande sein, unangemessene oder nicht autorisierte Änderungen daran schnell zu erkennen und zu korrigieren.

Sie sollten auch sicherstellen, dass Ihre Windows Server-Betriebssysteme und sonstige Software in puncto Patches auf dem neuesten Stand sind und dass Sie nur Versionen verwenden, die vom Anbieter vollständig unterstützt werden.

Minimierung von Benutzerberechtigungen

Minimierung von Benutzerberechtigungen

Minimierung von Benutzerberechtigungen

Die Best Practice, die für die IT-Sicherheit etwa am wichtigsten sein könnte, ist das Least-Privilege-Prinzip. Gewähren Sie jedem Benutzer genau den Zugriff, den er für seine Aufgaben benötigt – nicht mehr und nicht weniger. AD ermöglicht es Ihnen, Benutzer mit ähnlichen Rollen (z. B. alle Helpdesk-Admins oder alle HR-Mitarbeiter) in einer AD-Sicherheitsgruppe zusammenzufassen und sie gebündelt zu verwalten. Benutzer können mehreren AD-Gruppen angehören (das ist in der Regel auch der Fall), beispielsweise projektbasierten Gruppen.

Die Verwendung von AD-Sicherheitsgruppen ist nicht einfach nur praktisch für Administratoren, sondern erhöht auch die Sicherheit durch Reduzierung von Fehlern bei der Provisionierung und Deprovisionierung sowie durch Minimierung der Komplexität der Berechtigungsstruktur, sodass leichter mit Gewissheit ermittelt werden kann, wer worauf Zugriff hat. Mehr erfahren.

Untersuchung von Sicherheitsvorfällen

Untersuchung von Sicherheitsvorfällen

Untersuchung von Sicherheitsvorfällen

Ganz gleich, wie viel Mühe Sie sich mit der Prävention geben, es werden Cybersicherheitsereignisse auftreten. Sie müssen also imstande sein, sie schnell zu untersuchen und angemessen darauf zu reagieren. Sie müssen schnell feststellen können, wo die Sicherheitsverletzung entstanden ist, wie sie sich entwickelt hat und welche Systeme und Daten genau betroffen sind. Auf diese Weise können Sie einzelne Personen zur Verantwortung ziehen und Maßnahmen ergreifen, um zu verhindern, dass Ähnliches in Zukunft wieder passiert.

Verwaltung und Überwachung von Benutzerberechtigungen

Active Directory gibt es schon lange. Daher sind auch ohne Weiteres Best Practices verfügbar, die die AD-Sicherheit und -Compliance erwiesenermaßen deutlich verbessern. Durch die Implementierung der folgenden Best Practices kommen Sie Ihrem Ziel, die Risiken für Ihre Daten und IT-Systeme – sowie für den künftigen Erfolg Ihres Unternehmens – zu minimieren, schon ein gutes Stück näher.

Verwaltung von Benutzer- und Gruppenberechtigungen

Verwaltung von Benutzer- und Gruppenberechtigungen

Verwaltung von Benutzer- und Gruppenberechtigungen

Wie bereits erwähnt, ist das Least-Privilege-Prinzip die wichtgste Best Practice für IT-Sicherheit. Wenn Sie jedem Benutzer manuell Berechtigungen für die einzelnen Ressourcen zuweisen und auch noch dafür sorgen müssten, dass diese Berechtigungen bei wechselnden Benutzern und Übernahme neuer Rollen im Unternehmen auf dem aktuellen Stand bleiben, wären Sie in kürzester Zeit überfordert und für Ihr Unternehmen würde ein hohes Risiko mit Blick auf Datensicherheitsverletzungen und Compliance-Verstöße bestehen.

Durch die Möglichkeit, AD-Sicherheitsgruppen zu erstellen und Berechtigungen für ähnliche Benutzer zusammen zu verwalten, wird diese Last reduziert. Benutzer können mehreren AD-Gruppen angehören (das ist in der Regel auch der Fall), beispielsweise projektbasierten Gruppen. Einem neuen Vertriebsmanager kann beispielsweise Zugriff auf alle erforderlichen Ressourcen gewährt werden, indem er der Sicherheitsgruppe „Vertrieb“ und der Sicherheitsgruppe „Vertriebsmanager“ hinzugefügt wird. Wenn es neue Ordner oder Dateifreigaben gibt, auf die alle Vertriebsmitarbeiter Zugriff haben müssen, können Sie der Gruppe „Vertrieb“ einfach Zugriff darauf gewähren, statt alles einzeln zu den individuellen Benutzerkonten hinzuzufügen. Das funktioniert auch andersherum: Wenn ein Benutzer von einer Vertriebsrolle in eine andere Position im Unternehmen wechselt, können Sie ihm den Zugriff auf alle Vertriebsressourcen schnell entziehen, indem Sie ihn aus der Gruppe „Vertrieb“ entfernen. So müssen Sie nicht akribisch sämtliche Ressourcen durchgehen, für die der Benutzer Berechtigungen hat, und ermitteln, ob der Zugriff noch legitim ist.

Überwachung von Administratorberechtigungen

Überwachung von Administratorberechtigungen

Überwachung von Administratorberechtigungen

Die Verwendung von AD-Sicherheitsgruppen ist nicht einfach nur praktisch für Administratoren, sondern erhöht auch die Sicherheit durch Reduzierung von Fehlern bei der Provisionierung und Deprovisionierung sowie durch Minimierung der Komplexität der Berechtigungsstruktur, sodass leichter mit Gewissheit ermittelt werden kann, wer worauf Zugriff hat.

Besonders wichtig sind Active Directory-Sicherheitsgruppen, mit denen Administratorberechtigungen gewährt werden, z. B. die über umfangreiche Berechtigungen verfügenden Gruppen der Unternehmensadministratoren, Domänenadministratoren und Schemaadministratoren sowie das lokale Administratorkonto, das bei der Installation von Windows erstellt wird und umfassende Kontrolle über die Dateien, Verzeichnisse, Services und anderen Ressourcen auf dem lokalen Computer hat. Organisationen müssen genau überwachen, wer zu diesen Gruppen mit privilegiertem Zugriff gehört und mitgliedschaftsbezogene Änderungen genau im Auge behalten, denn das könnte auf einen Angreifer oder böswilligen Insider hindeuten, der versucht, seine Berechtigungen auszuweiten, um Zugriff auf weitere Systeme oder Daten zu erhalten.

Berechtigungen von Servicekonten

Berechtigungen von Servicekonten

Berechtigungen von Servicekonten

Servicekonten sind spezielle Benutzerkonten, die Anwendungen und Services nutzen, um sich anzumelden und Aktionen in Ihrer IT-Umgebung auszuführen. Leider verfügen Servicekonten oft über weitaus mehr Berechtigungen als eigentlich erforderlich, wodurch Ihre Sicherheitsrisiken steigen. Zu den häufigen Gründen für eine übermäßige Provisionierung gehört das blinde Annehmen der vom Anwendungsanbieter angegebenen Anforderungen, fehlende Sorgfalt bei der Bewältigung betrieblicher Herausforderungen und das einfache Klonen vorhandener Services, statt sich die Zeit zu nehmen, neue Services mit den richtigen Berechtigungen zu erstellen.

Best Practice ist es natürlich, sicherzustellen, dass für alle Servicekonten das Least-Privilege-Prinzip Anwendung findet. Sie müssen auch besondere Vorsichtsmaßnahmen ergreifen, wenn ein Servicekonto Administratorberechtigungen benötigt. Ein Servicekonto sollte niemals in eine Standard-Administratorgruppe aufgenommen werden, z. B. in die Gruppe der lokalen Administratoren oder der Domänenadministratoren. Bessere Optionen sind das Ausführen des Service unter dem LocalSystem-Konto oder die Erstellung einer benutzerdefinierten Gruppe für das Servicekonto und explizite Verweigern des Zugriffs auf andere Konten für diese Gruppe. Außerdem ist es ratsam, Servicekonten nach Möglichkeit so zu konfigurieren, dass sie sich nur während eines bestimmten Zeitraums am Tag anmelden können.

Wo kann ich mehr über Active Directory erfahren?

Wo kann ich mehr über Active Directory erfahren?

Active Directory ist für den Erfolg von Unternehmen heutzutage von entscheidender Bedeutung. Diese zusätzlichen Informationsseiten zeigen Ihnen Best Practices in den Kernbereichen von Active Directory:

Ressourcen

Nine Best Practices to Improve Active Directory Security and Cyber Resilience
eBook
Nine Best Practices to Improve Active Directory Security and Cyber Resilience
Nine Best Practices to Improve Active Directory Security and Cyber Resilience
This ebook explores the anatomy of an AD insider threat and details the best defense strategies against it.
eBook lesen
How to implement NIST, ESAE and Red Forest Cybersecurity Principles in Active Directory
Whitepaper
How to implement NIST, ESAE and Red Forest Cybersecurity Principles in Active Directory
How to implement NIST, ESAE and Red Forest Cybersecurity Principles in Active Directory
Smart companies are adopting NIST Cybersecurity and Microsoft’s ESAE (“Red Forest”) as models for protecting credentials, particularly those that reside in Active Directory. Download your complimentary copy of this white paper today to learn more.
Whitepaper lesen
Enhancing Active Directory Security and Lateral Movement Security
eBook
Enhancing Active Directory Security and Lateral Movement Security
Enhancing Active Directory Security and Lateral Movement Security
Limit lateral movement by attackers inside your network with these best practices and Quest solutions.
eBook lesen

Videos

TEC TALK - Office 365 & Azure Active Directory Security | Quest
TEC TALK - Office 365 & Azure Active Directory Security | Quest

01:03:26

Video
TEC TALK - Office 365 & Azure Active Directory Security | Quest

Learn how to prioritize Office 365 & Azure AD security for your remote workforce in this TEC Talk presented by Microsoft Certified Master, Sean Metcalf.

Video ansehen
TEC Talk: Hardening Privileged Access
TEC Talk: Hardening Privileged Access

01:06:36

Video
TEC Talk: Hardening Privileged Access
Learn steps you can take to secure privileged Active Directory access.
Video ansehen
Current state of AD security
Current state of AD security

03:01

Video
Current state of AD security
Join Sean Metcalf, Microsoft Certified Master, as he discusses what organizations are seeing and missing when it comes to Active Directory security.
Video ansehen
Recovering from an AD security breach or disaster
Recovering from an AD security breach or disaster

04:15

Video
Recovering from an AD security breach or disaster
Join experts Sean Metcalf and Brian Desmond as they discuss the best practices for quickly dealing with and recovering from AD security breaches.
Video ansehen
Common AD security pitfalls
Common AD security pitfalls

03:21

Video
Common AD security pitfalls
Join Sean Metcalf, Microsoft Certified Master, as he discusses the most common mistakes organizations make when it comes to Active Directory security.
Video ansehen
Is your AD environment safe from the dark side?
Is your AD environment safe from the dark side?

03:10

Video
Is your AD environment safe from the dark side?
See how Quest Software and One Identity can protect your organization from Hank the Hacker and other forces poised to steal AD-controlled credentials and your valuable data.
Video ansehen
Prepare for destructive AD cyber-attacks
Prepare for destructive AD cyber-attacks

10:59

Video
Prepare for destructive AD cyber-attacks
Learn how you can prepare for – and recover from – a destructive attack on your Active Directory.
Video ansehen
How to reduce AD security risks and insider threats
How to reduce AD security risks and insider threats

01:32

Video
How to reduce AD security risks and insider threats

Hank the Hacker is back and he's ready to attack your Active Directory (AD) environment, whether on-premises or in the cloud. Worse yet, this time he brought friends. With Disgruntled Dan and Careless Craig, he has even more leverage to take control. That's why it's so important to get protected.

Read this informative e-book, Nine Best Practices for AD Security, and discover what you can do to protect your environment from insider threats. Explore:

  • Why attackers target AD and how the growing popularity of Office 365 increases the threat
  • What an AD security breach means to the organization
  • Why it is difficult to secure Active Directory using native auditing alone
  • How a typical insider threat unfolds and how to identify common insider threat indicators
  • How following nine critical security best practices will help you minimize the risk of the internal threats to the availability, confidentiality and integrity of your AD

Video ansehen

Blogs

Password spraying, credential stuffing, brute force attacks: What you need to know

Password spraying, credential stuffing, brute force attacks: What you need to know

Password spraying, credential stuffing, brute force attacks—the similarities extend beyond their names. Learn how they work and how to prevent them.

SID History in an Active Directory migration – What you need to know

SID History in an Active Directory migration – What you need to know

Do I need to migrate SID History from source to target environment in an AD migration? Read about pros and cons, including product risk and security risk.

Active Directory security groups: What they are and how they improve security

Active Directory security groups: What they are and how they improve security

Active Directory security groups play a critical role in controlling access to your vital systems and data. Learn how they work.

Active Directory auditing: What it entails and how to implement it effectively

Active Directory auditing: What it entails and how to implement it effectively

Active Directory auditing is essential because without it, organizations are at increased risk. Learn why it’s so critical and how to enable it.

5 Active Directory migration best practices

5 Active Directory migration best practices

Active Directory delivers key authentication services so it’s critical for migrations to go smoothly. Learn 5 Active Directory migration best practices.

Top security considerations in an Active Directory migration

Top security considerations in an Active Directory migration

Active Directory migration in a hurry? Bad idea. Migration is a perfect time to examine identity, groups, apps, data and devices. Learn how to do it right.

Jetzt starten

Ihr zentraler Anbieter für die Absicherung Ihrer Active Directory-Umgebung