Domänencontroller zuverlässig vor Angriffen schützen Härtungsmaßnahmen für das Active Directory

Von Thomas Joos

Anbieter zum Thema

Der Schutz von Active Directory ist ein wichtiger Faktor für die Sicherheit im Netzwerk. Können Angreifer die Domänencontroller kompromittieren, besteht die Gefahr, dass Anmeldedaten übernommen werden und Netzwerkdienste und deren Daten in Gefahr sind. Härtungsmaßnahmen wirken dem entgegen.

Das Active Directory wird immer mehr zum Einfallstor für Cyber-Angriffe. Zeit, sich der Sicherheit des AD anzunehmen.
Das Active Directory wird immer mehr zum Einfallstor für Cyber-Angriffe. Zeit, sich der Sicherheit des AD anzunehmen.
(Bild: © Worawut - stock.adobe.com )

Active Directory ist in vielen Netzwerken die Zentrale zur Authentifizierung von Benutzern und Serverdiensten. Daher sollten Administratoren auch hier darauf achten, dass Domänencontroller und Netzwerkkommunikation so sicher wie möglich sind. Die wichtigsten Schritte dazu bestehen zunächst aus Standardmaßnahmen.

Zunächst sollte mit Administrator-Rechten immer sehr vorsichtig vorgegangen werden. Selbstverständlich sollten auch alle aktuellen Updates auf den Domänencontrollern und allen Mitgliedscomputern installiert werden. Dies nur ganz grundlegend als elementare Sicherheitsaspekte. Das BSI stellt ein Dokument [PDF] zur Verfügung, das ebenfalls Anleitungen und Tipps für mehr Sicherheit in Active Directory enthält.

Bildergalerie
Bildergalerie mit 8 Bildern

Verwaltungsmodelle mit geringen Rechten umsetzen

Administratoren sollten für die tägliche Arbeit möglichst nicht mit dem Adminkonto arbeiten, sondern ein herkömmliches Benutzerkonto mit reduzierten Rechten verwenden. Zudem sollten Technologien wie Privileged Access Management (PAM) für Active Directory zum Einsatz kommen. Mehr dazu ist im Beitrag "Reduzieren der Angriffsfläche für Active Directory" zu finden.

Für die Einrichtung von PAM sind die Informationen auf der Microsoft-Seite "Implementieren von Verwaltungsmodellen der geringste Rechte" interessant. Wir haben die Einrichtung auch im Beitrag "Admin auf Zeit in Active Directory" ausführlich beschrieben.

Selbstverständlich sollten auf den Domänencontrollern auch alle aktuellen Updates installiert sein, damit Sicherheitslücken ausgeschlossen sind. Hinzu kommt die Einschränkung des RDP-Zugriffs. Für eine sichere Umgebung ist es generell eher nicht sinnvoll, per RDP auf die Domänencontroller zuzugreifen. Ausnahme dabei sind Verwaltungscomputer von Admins, die wiederum zum Tier 0 (siehe nächster Absatz) gehören. Es ist sinnvoll, den Zugriff auf die Domänencontroller nur von diesen Geräten aus zu gestatten. Auch der Zugriff auf das Internet sollte möglichst unterbunden werden.

Tier-Unterteilung von Active Directory als elementarer Bestandteil für mehr Sicherheit

Generell sollten Serverdienste im Netzwerk in Tiers unterteilt werden, ähnlich wie VLANs. Dabei enthält das Tier 0 die besonders kritischen Systeme. Dazu gehören allgemein auch die Domänencontroller. Tier-0-Geräte sollten nicht in großer Anzahl vorhanden sein, da diese besonders geschützt werden müssen. Daher sollte auch darauf geachtet werden, dass auf Tier-1- und Tier-2-Geräten keine Tools und Dienste laufen, die direkt auf Tier-0-Systeme zugreifen können.

Bildergalerie
Bildergalerie mit 8 Bildern

Benutzerkonten, die Tier-0-Systeme verwalten, sollten nicht auf Tier-1- und Tier-2-Geräten genutzt werden. Einfach ausgedrückt heißt das: Benutzerkonten aus Tier 0, zum Beispiel die Domänenadministratoren, dürfen nicht für die Anmeldung an Arbeitsstationen in Tier 2 und auch nicht zur Anmeldung an Servern in Tier 1 genutzt werden.

Die Übernahme von Tier-0-Systemen kann auch Tier-1-Geräte beeinträchtigen. Zu Tier-1-Systemen gehören wichtige Server, wie Dateiserver. Die Tier-2-Geräte sind schlussendlich die Arbeitsstationen oder eher unwichtigere Server. Die Aufteilung muss so erfolgen, dass es von einem Tier-1- oder Tier-2-Gerät aus nicht möglich ist, ein Tier-0-Gerät zu steuern.

Es gilt also zu verhindern, dass von "unsicheren" Tier-Geräten aus eine Steuerung der übergeordneten Tiers durchgeführt werden kann. Wenn auf einem Tier-1-Gerät zum Beispiel Systemdienste das Recht von Domänen-Admins haben, können diese auch auf Tier 0 zugreifen, da Domänen-Admins auch Domänencontroller steuern dürfen. Das gilt auch für die Datensicherung und andere Dienste, die oft aus Bequemlichkeit heraus mit Domänen-Admin-Rechten ausgestattet werden, ohne dass es notwendig ist. Das sollte in jedem Fall vermieden werden.

Lokale Administrator-Konten umbenennen und verschiedene Kennwörter verwenden

Generell sollten auf Mitgliedsservern in Active Directory die lokalen Administratorkonten umbenannt werden. Das Konto "Administrator" ist häufig Ziel von Angriffen. Darüber hinaus sollten für alle Konten unterschiedliche Kennwörter verwendet werden. Hat ein Angreifer ein Kennwort erfolgreich übernommen, kann er sich sonst an allen Konten mit diesem Kennwort anmelden. Darüber hinaus sollte auf den Servern auch LAPS (Local Admin Password Solution) von Microsoft zum Einsatz kommen. Mit dieser kostenlosen Erweiterung lassen sich lokale Admin-Konten zuverlässiger schützen.

Virtuelle Domänencontroller schützen

Wenn virtuelle Domänencontroller zum Einsatz kommen, besteht die Gefahr, dass Angreifer die VMs exportieren oder die Dateien kopieren. In den Dateien ist auch die AD-Datenbank enthalten, auf die Angreifer nach dem Diebstahl bequem zugreifen können. Bei den Virtualisierungs-Hosts kann es sich daher durchaus auch um Tier-0-Systeme handeln. Auch die Datensicherung von Active Directory spielt hier eine Rolle. Die gesicherten Daten enthalten ebenfalls oft die Active-Directory-Datenbank und ermöglichen dadurch Zugriff auf Tier-0-Systeme. Daher muss auch hier geplant werden, wo diese Daten liegen. Selbstverständlich gilt das auch für physische Server. Auch diese müssen vor Diebstahl bzw. unbefugtem physischem Zugriff geschützt werden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Sicherheitsempfehlungen von Microsoft automatisiert umsetzen

Das Microsoft Security Compliance Toolkit ist ein kostenloses Werkzeug von Microsoft, mit dem Sicherheitseinstellungen im Netzwerk über Gruppenrichtlinien verteilt werden können. Hier lassen sich auch Gruppenrichtlinien für Domänencontroller automatisiert umsetzen. Im Beitrag "Security-Baseline für Windows Server 2022 und Windows 11" gehen wir ausführlicher auf das Thema ein.

Im Beitrag "So nutzen Sie LDAP over SSL in Active Directory" zeigen wir zudem wichtige Sicherheitseinstellungen für die Aktivierung von LDAP over SSL in Active Directory.

Bildergalerie
Bildergalerie mit 8 Bildern

(ID:48443484)