Active-Directory-Tipps: 8 bewährte Praktiken für mehr AD-Sicherheit

Für Cyberkriminelle ist das Active Directory (AD) ein echter Jackpot, da es Ihre gesamte IT-Infrastruktur umfasst. Dementsprechend engagiert sind Hacker beim Versuch, Schwachstellen oder ahnungslose Benutzer auszunutzen, um sich Zugang zu Ihren Netzwerkressourcen zu verschaffen. 

Vor diesem Hintergrund sollten Sie Ihre AD-Umgebung so gut wie möglich absichern, damit böswillige Akteure Ihnen nicht vor Ihren Augen vertrauliche Unternehmensdaten stehlen können, weil Sie nur unzureichende Sicherheitsmaßnahmen getroffen haben.

Wir haben acht Best Practices rund um die Absicherung des Active Directory für Sie zusammengestellt. Diese unterstützen Sie dabei, Ihr AD bestmöglich gegen Hacker abzusichern und – im schlimmsten Fall – die Auswirkungen von Datendiebstählen möglichst gering zu halten:

  1. Angriffsfläche reduzieren
  2. Domänen-Controller absichern 
  3. Least-Privilege-Prinzip anwenden
  4. Sicherheitsgruppen überwachen
  5. Strenge Passwortrichtlinien festlegen und durchsetzen
  6. Lokale Administratorkonten im Auge behalten
  7. Benutzer für Risiken sensibilisieren
  8. Gefährdungsanzeichen im Blick behalten
     

Produktvorstellung ADAudit Plus
Wir stellen Ihnen die Funktionen von ADAudit Plus gerne in einer unserer regelmäßigen Live-Demos vor - kostenlos und unverbindlich!

Jetzt anmelden!

Erhöhen Sie Ihre AD-Sicherheit mit ADAudit Plus
Ohne ein Active-Directory-Sicherheits-Tool wird es Ihnen schwer fallen, den Überblick über alle Vorgänge in Ihrer AD-Umgebung zu behalten. Mit ADAudit Plus – einer UBA-gesteuerten AD-Change-Management-Lösung von ManageEngine – können Sie alle Änderungen an AD-Objekten übrigens einfach überwachen und auditieren. Individuell anpassbare Change-Audit-Berichte für Benutzer, Computer, Gruppen, Organisationseinheiten (OUs) und Gruppenrichtlinienobjekte (GPOs) helfen Ihnen dabei, Anmeldungen an Domänen-Controllern, Änderungen an Passwortrichtlinien-Einstellungen und Sicherheitsgruppen, LAPS-Aktivitäten und vieles mehr im Auge zu behalten.

1. Reduzieren Sie die Angriffsfläche Ihres Active Directory

Die Angriffsfläche Ihres Unternehmens setzt sich aus verschiedenen Punkten zusammen, über die sich böswillige Akteure einen unbefugten Zugang zu Ihrem Netzwerk verschaffen können. Das Active Directory enthält verschiedene kritische Ressourcen wie Domänen-Controller (DCs), Sicherheitsgruppen und Informationen, beispielsweise in den Benutzer-Accounts und Backups, die es zu einem attraktiven Ziel für Angreifer machen. Daher spielt das Reduzieren der AD-Angriffsfläche eine entscheidende Rolle bei der Abwehr von Cyberangriffen.

Wenn Sie die Angriffsfläche Ihres Active Directory minimieren möchten, sollten Sie auf dem Forest Level beginnen und die Anzahl der Domänen in Ihrem Verzeichnis soweit wie möglich reduzieren. Als nächstes identifizieren Sie doppelte und andere nicht benötigte Gruppen und entfernen diese. Anschließend sollten Sie die Accounts aller befristet angestellten Mitarbeitenden genauer unter die Lupe nehmen. Legen Sie ein Ablaufdatum für jedes Konto fest und beschränken Sie deren Berechtigungen auf das notwendige Minimum, um Angreifern möglichst wenig Chancen zu geben, sich über einen kompromittierten Benutzer-Account Zugriff zu Unternehmensdaten zu verschaffen.

Tipp:
Um verdächtige Aktivitäten im Zusammenhang mit Accounts im Blick zu behalten, bietet ADAudit Plus verschiedene Reports wie den Logon Failure Report, in dem Sie detaillierte Informationen zu Anmeldefehlern finden. So lassen sich z. B. mehrere fehlgeschlagene Anmeldeversuche innerhalb kürzester Zeit einfach identifizieren. Falls Sie in diesen Fällen automatisch alarmiert werden möchten, müssen Sie lediglich einmal einen entsprechenden Alarm einrichten (unter Configuration / Alert Profiles / View/Modify Alert Profiles).

Zusatztipp:
Zeitlich befristete Accounts lassen sich mit der AD-Management- und -Reporting-Lösung ADManager Plus komfortabel im Auge behalten bzw. können Sie deren Attribute wie das Ablaufdatum einfach und schnell ändern. Wie Sie das Ablaufdatum dieser Accounts überwachen, haben wir hier in Tipp 1 ausführlich beschrieben.

2. Schützen Sie Ihren Domänen-Controller

Damit Ihre Domänen-Controller (DCs) so gut wie möglich vor einer Kompromittierung geschützt sind, sollten Sie darauf achten, dass diese nicht aus der Organisationseinheit (OU) des Standard-Domänen-Controllers verschoben werden. Idealerweise erlauben Sie den Zugriff auf die Domänen-Controller nur von einem gesicherten Computer ohne Internetverbindung. 

Darüber hinaus sollten Sie die Gruppe derjenigen, die DC-Administrations- oder -Anmelderechte haben, so klein wie möglich halten. Am besten überprüfen Sie bei dieser Gelegenheit gleich, ob Sie ein Change-Monitoring für diese Gruppe eingerichtet haben, damit Sie bei eventuell unbefugt vorgenommenen Änderungen oder Rechteerweiterungen möglichst umgehend informiert werden. 

Neben einem kompromittierten Account können sich Angreifer aber auch über Schwachstellen in Software-Anwendungen Zugriff auf Ihre Domänen-Controller verschaffen. Daher sollten Sie möglichst nur die Software auf Ihren DCs installieren, die wirklich notwendig ist. Unsere Empfehlung dazu: Investieren Sie in eine gute Patch-Management-Lösung wie Patch Manager Plus, damit kritische Sicherheits-Patches für Betriebssysteme und andere Anwendungen auf den Domänen-Controllern so schnell wie möglich installiert werden. Das hilft, die Anfälligkeit für Angriffe zu minimieren. 

Tipp:
Mit ADAudit Plus können Sie alle Änderungen überwachen, die die Sicherheit Ihres Active Directory gefährden könnten. Dazu zählen z. B. DC-Anmeldeaktivitäten, Änderungen an Gruppen wie „Domain Administrators“ und „Enterprise Administrators“ (siehe auch 4.), an Gruppenrichtlinien (GPOs), die auf Ihre DCs angewendet werden, oder an den Sicherheitsrichtlinien. 
Hierbei unterstützen Sie u. a. die folgenden Reports: 

  • Domain Controller Logon Activity (unter Reports / User Logon Reports): Der Bericht enthält alle Anmeldeaktivitäten an Domain Controllern.
  • Recently Added Members to Security Group (unter Reports / Group Management): Hier sehen Sie, wenn Mitglieder z. B. in die Gruppe „Administratoren“ hinzugefügt wurden. 
  • Security Settings Changes (unter Reports / GPO Setting Changes): Dieser Bericht gibt Aufschluss über Änderungen an den Sicherheitseinstellungen. 
  • Alle „Permission Changes“-Berichte (unter Reports / Permission Changes): Die Reports zeigen Ihnen alle Änderungen an Berechtigungen auf Domänen-Level sowie an GPO- und Gruppenberechtigungen.

3. Befolgen Sie das Least-Privilege-Prinzip

Verwenden Sie eine effektive Zugriffsverwaltungsstrategie, um ungerechtfertigte Zugriffe auf Ressourcen soweit wie möglich zu beschränken. Beim Least-Privilege-Model erhalten die Domänenbenutzer gerade so viele Zugriffsrechte auf die notwendigen Ressourcen, wie sie für die Erfüllung ihrer Aufgaben benötigen. Das verhindert, dass unzufriedene Mitarbeiter ihre Privilegien missbrauchen und Ihr Netzwerk sabotieren können.

Tipp:
Der Einsatz des Least-Privilege-Prinzips im Unternehmen erleichtert es den IT-Abteilungen, ungewöhnliche Aktivitäten im Zusammenhang mit sensiblen Daten zu erkennen. Hierbei unterstützt das in ADAudit Plus integrierte User Behavior Analytics (UBA) zusätzlich, indem ungewöhnliche Aktivitäten im Netzwerk identifiziert werden. Wenn beispielsweise ein Benutzer plötzlich viele Informationen von den Dateiservern herunterlädt, auf die er normalerweise keinen Zugriff haben sollte, löst ADAudit Plus in Echtzeit einen Alarm aus. Der Administrator kann die Audit-Berichte von ADAudit Plus auch verwenden, um die Benutzer zu überprüfen, die auf sensible Dateien zugegriffen haben, oder die Benutzer, die kürzlich zu privilegierten AD-Sicherheitsgruppen hinzugefügt wurden.

4. Verwalten Sie Ihre Sicherheitsgruppen

Die Mitgliedschaft in einer Sicherheitsgruppen bestimmt, welche Berechtigungen und Privilegien ein Domänenbenutzer besitzt. Da unbefugte Änderungen an Sicherheitsgruppen zu groß angelegten Datendiebstählen führen können, sollten Sie Gruppen mit weitreichenden Privilegien wie „Domain Admins“ und „Enterprise Admins“ kontinuierlich überwachen. Dabei sollten Sie vor allem auf eine unerlaubte Erweiterung der Berechtigungen achten.

Zusatztipp Alarme:
Wie Sie sich einen Alarm für Änderungen an Gruppenmitgliedschaften einrichten, haben wir hier (siehe „Alarm 4“) ausführlich beschrieben.

Tipp: 
ADAudit Plus bietet verschiedene Berichte, um Änderungen an den Sicherheitsgruppen zu überwachen (z. B. „Recently Changed Security Group“, „Recently Deleted Security Group“, „Recently Added Members to Security Groups“, „Recently Removed Members from Security Groups”). Diese finden Sie auf dem Reiter Reports unter Group Management
Um Änderungen an den Gruppenberechtigungen zu überwachen, bietet ADAudit Plus unter Reports / Permission Changes u. a. den Bericht „Group Permission Changes“.

5. Implementieren Sie eine Richtlinie für sichere Passwörter

Schwache Passwörter machen es Angreifern leichter, Passwörter durch Erraten herauszufinden. Eine strenge Passwortrichtlinie, die von den Benutzern die Verwendung von Passwörtern mit mindestens 8-12 Zeichen erzwingt, kann Ihre Benutzer-Accounts vor solchen Angriffen schützen.

Darüber hinaus sollten Sie granular abgestufte Passwortrichtlinien für Benutzer mit erweiterten Rechten einsetzen und Passwortänderungen bei privilegierten Konten besonders aufmerksam verfolgen.

Tipp: 
Falls Sie wissen möchten, bei welchen privilegierten Konten kürzlich das Passwort geändert wurde, finden Sie diese Information im Bericht „Recently Password Changed Users“ (unter Reports / User Management). Darin werden alle Benutzer aufgelistet, deren Passwort in einem bestimmten, frei wählbaren Zeitraum geändert wurde. 

Zusatztipp:
Wie Sie sichere Passwörter für Active Directory erzwingen können, haben wir in unseren Best Practices für Passwortrichtlinien beschrieben. In dem Artikel finden Sie zudem viele Tipps, wie Sie Ihre Passwortrichtlinien mit ADSelfService Plus konsequent durchsetzen können. 

6. Behalten Sie lokale Administratoren im Auge

Lokale Administrator-Accounts werden oft mit demselben Passwort auf allen Computern in der Domäne konfiguriert. Das kann weitreichende Folgen haben: Verschafft sich ein böswilliger Benutzer die lokalen Admin-Rechte auf einem kompromittierten Computer, so hat er auf allen Computern in der Domäne die gleichen Rechte. Um dies zu verhindern, sollten Sie die Local Administrator Password Solution (LAPS) verwenden. Die LAPS fungiert als zentrales Repository für die Passwörter der Local Admins im Active Directory und stellt sicher, dass jedes lokale Administratorkonto ein eindeutiges Passwort hat, das im AD gespeichert ist, um den Zugriff zu erleichtern.

Tipp: So überwachen Sie Änderungen in der LAPS mit ADAudit Plus
Mit ADAudit Plus können Sie alle kritischen Änderungen in der LAPS (Local Administrator Password Solution) mühelos überwachen und für Audit-Zwecke dokumentieren: 

  • Melden Sie sich bei ADAudit Plus an und gehen Sie zu Reports / LAPS Audit.
  • Wählen Sie ggf. die gewünschte Domäne aus. 
  • Klicken Sie auf einen der beiden Reports: 
    • LAPS Password Read: Dieser Bericht zeigt Ihnen, wer welches LAPS-Attribut geändert hat.
    • LAPS Password Expiry Changes: Hier sehen Sie, welcher User das Ablaufdatum eines Passworts modifiziert hat. 

7. Sensibilisieren und schulen Sie Ihre Anwender zu Cyberrisiken

Selbst wenn Sie alle Sicherheitsmaßnahmen angemessen konfiguriert haben, gibt es für Hacker trotzdem noch die Möglichkeit, sich mit einem Social-Engineering-Angriff Zugriff zu Ihrem Netzwerk zu verschaffen. Immer wieder fallen ahnungslose Benutzer auf Phishing- und Spear-Phishing-Betrugsmaschen herein und ermöglichen es Angreifern so, Malware in Unternehmenssysteme einzuschleusen. Um das zu vermeiden, sollten Sie Ihre Benutzer regelmäßig darin schulen, diese Angriffe zu erkennen. Im Zweifelsfall sollten die Anwender umgehend das IT-Sicherheitsteam alarmieren, wenn sie vermuten, dass ihr Account kompromittiert wurde.

Übrigens: 
Kennen Sie schon unsere Cybersecurity Themenseite?
Hier erfahren Sie u. a. mehr über häufige Arten von Cyberangriffen wie Phishing und wie die ManageEngine-Produkte Sie dabei unterstützen können, diese zu verhindern bzw. deren Schäden zu minimieren. 

8. Überwachen Sie Ihr AD auf Anzeichen einer Kompromittierung

Zu guter Letzt sollten Sie alle Änderungen in Ihrer AD-Umgebung stets im Auge behalten. Überwachen Sie das Erstellen und Löschen aller AD-Objekte in Ihrem Verzeichnis. Darüber hinaus sollten Sie alle Änderungen an Ihren Benutzer- oder Computerkonten, Sicherheitsgruppen, OUs und Gruppenrichtlinienobjekten (GPOs) sorgfältig auf Anzeichen einer Kompromittierung hin untersuchen.

Tipp: 
ADAudit Plus enthält neben den Berichten auch Funktionen zur Analyse des Anwender-Verhaltens (User Behavior Analyitcs). Wie Sie diese einsetzen, um z. B. ungewöhnliche Dateiaktivitäten von Benutzern aufzuspüren und sich mit benutzerdefinierten Alarmen warnen lassen können, haben wir hier in unserem Tipp detailliert beschrieben.

Demo-Version ansehen
Kostenlos 30 Tage Tage testen!

Best Practices rund um das Active Directory:

5 Best Practices zu
Organisationseinheiten (OUs) im AD
5 Best Practices zur
Archivierung von Sicherheitsprotokollen
7 Best Practices zum
Active Directory Auditing
10 Best Practices für die
Verwaltung von Gruppenrichtlinien
mehr Tipps zu
ADAudit Plus

ManageEngine – Support & Kontakt

MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren