:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Erst Drittanbieter-Tools machen das AD praktikabel Herausforderung in Active Directory erkennen und lösen
Microsoft Active Directory (AD) ist eine gut skalierbare Lösung zur Verwaltung von Benutzern und Ressourcen sowie für die Authentifizierung in einer Windows-Umgebung. Allerdings stoßen Systemadministratoren hier regelmäßig auf besondere Herausforderungen. Eine Vorabbetrachtung lohnt sich daher.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Mit ein wenig Vorbereitung können einfache Ergänzungen dabei helfen, unnötigen Aufwand bei der Administration von Active-Directory-Umgebungen zu vermeiden und eine bestmögliche Performance aus dem Verzeichnisdienst herauszuholen.
Audits und Protokolle sind umständlich
Viele Aufgaben erfordern eine ordnungsgemäße Protokollierung, Überwachung und Analyse. So müssen die Nutzer beispielsweise kritische Fehler und Änderungen an AD-Objekten sowie die Gruppenrichtlinien im Auge zu behalten, weil diese sowohl die Performance als auch die Sicherheit beeinträchtigen können. Allerdings sind die Protokolle sehr technisch, sodass benötigte Daten oft mühsam und manuell gesucht und gefiltert werden müssen; gelegentlich werden sogar fortgeschrittene PowerShell-Skriptfähigkeiten in Kombination mit dem Task Scheduler notwendig, um Alarme und Berichte zu erstellen. Die Ereignisprotokolle sind dann allerdings auf 4 GB begrenzt, sodass sehr schnell Teile des Protokolls überschrieben werden und wichtige Ereignisse verloren gehen.
:quality(80)/images.vogel.de/vogelonline/bdb/1199200/1199298/original.jpg "Wie man Änderungen an Berechtigungen und Gruppenrichtlinien in einem Microsoft-Netzwerk nachverfolgen kann, zeigt unser Video-Tipp. (gemeinfrei)")
Video-Tipp: Berechtigungen überwachen
Änderungen in Microsoft-Netzwerken nachverfolgen
In der Folge sollten Unternehmen SIEM- und Auditierungslösungen integrieren, um die Speicherung und Analyse von Protokollen zu vereinfachen. Diese Funktionen hätten zweifellos von Anfang an integriert werden müssen, denn nur so kann AD seine Stärken ausspielen, anstatt in Standardsituationen Umstände zu verursachen.
Wenn das Active Directory offline geht, fehlen Logins
Wie bei den meisten Systemen gibt es auch bei AD Gründe dafür, dass der Verzeichnisdienst gelegentlich offline ist. Das konfrontiert IT-Administratoren allerdings mit Störungen, weil der Benutzer die Zugriffsrechte auf seine Daten verliert, sobald seine authentifizierte Sitzung abläuft. Dies geschieht meistens innerhalb weniger Stunden und dann lassen sowohl Software als auch Hardware, die auf der Authentifizierung durch AD basieren, beispielsweise IIS-Seiten und VPN-Server, keine Anmeldung mehr zu. Abhängig von der Konfiguration werden die Benutzer entweder sofort aus dem System entfernt oder die bestehenden Sitzungen wenigstens bis zum Logout beibehalten.
Umgekehrt können sich Benutzer auf Computern anmelden, die sie kürzlich benutzt haben, weil sie ein zwischengespeichertes Kennwort oder ein Authentifizierungsticket besitzen. Nur Nutzer, die einen bestimmten PC noch nie oder vor langer Zeit das letzte Mal benutzt haben, sind auf eine neue Verbindung angewiesen. Während eines längeren Ausfalls wird sich allerdings niemand mehr mit einem Domain-Account anmelden können, weil die zwischengespeicherten Authentifizierungen zwangsläufig ablaufen werden.
Um diese Probleme zu vermeiden, empfehlen die Best Practices, mindestens zwei Active Directory Domain Controller redundant und mit Failover einzusetzen. Auf diese Weise kann ein Windows Server nach einem Ausfall bspw. neu installiert werden, während der zweite DC die Aufgaben des Active Diretory übernimmt. Dazu muss der zweite Server als DC in einer bestehenden Domäne eingerichtet und alles ohne Ausfallzeiten repliziert werden. Der Nachteil dieser Lösung ist, dass durch die zusätzlich notwendige Hardware und Lizenzierung weitere Kosten entstehen.
:quality(80)/images.vogel.de/vogelonline/bdb/1226400/1226459/original.jpg "Tipps und Tricks, wie man Performance-Probleme bei Gruppenrichtlinien erkennt und behebt, bevor es dadurch zu Sicherheitsproblemen kommt, zeigen wir in diesem Video-Tipp. (Natchapon - Fotolia.com)")
Video-Tipp: Performance-Troubleshooting
Performance-Troubleshooting gegen Sicherheitsprobleme mit Gruppenrichtlinien
Die Beliebtheit des Dienstes lockt Angreifer an
Es gibt viele Techniken und Strategien für Hacker ein AD anzugreifen, weil es der beliebteste Verzeichnisdienst und entsprechend weit verbreitet ist. AD-Server verfügen in der Regel über eine Internetverbindung, wodurch Angreifer die Möglichkeit bekommen, aus der Ferne an die Schlüssel zu Ihren Kronjuwelen zu gelangen. Eine besondere Schwäche ist in diesem Zusammenhang das verwendete Kerberos-Authentifizierungsprotokoll mit symmetrischer Kryptografie-Architektur. Zwar werden die Schwachstellen regelmäßig gepatcht, allerdings werden auch ständig neue Angriffsvektoren entdeckt, was bei der weiten Verbreitung der Lösung allerdings zu erwarten ist.
Bei Active Directory fehlt ein grafisches User Interface
Der Verzeichnisdienst bündelt mehrere Programme, wie zum Beispiel Active Directory Users and Computers (ADUC) sowie die Group Policy Management Console (GPMC), um Unternehmen bei der Verwaltung von Daten und Richtlinien innerhalb des Verzeichnisses zu unterstützen. Allerdings erfordert auch hier das Einfügen von Objektparametern umfassende Kenntnisse im PowerShell-Skripting; es gibt keine Warnungen und die Berichte beschränken sich auf exportierte .txt-Dateien. Die Möglichkeiten der Delegation sind ebenfalls begrenzt. Viele Unternehmen teilen Domänen daher auf, um den administrativen Zugriff zu begrenzen, wodurch allerdings eine unübersichtliche Verzeichnisstruktur geschaffen wird, deren Verwaltung umständlich ist.
Unternehmen setzen deshalb oft Lösungen von Drittanbietern zur Verwaltung von Active Directory ein, um Administratorenrechte viel granularer zu kontrollieren als dies normalerweise möglich ist. Eine bessere Kontrolle über die Identitäts-, Objektzugriffs- und die Kontoverwaltung wird so möglich. AD-Management-Tools von Drittanbietern können in der Regel die Vorgänge rund um die Erstellung, Entfernung und Änderung von Konten, Gruppen und Gruppenrichtlinien automatisieren und bei der Untersuchung von gesperrten Accounts helfen.
Das fehlende Self-Service-Portal belastet den Helpdesk
Normalerweise ist es sinnvoll, wenn Benutzer bzw. Anwender bestimmte Aufgaben selbst durchführen können, wie beispielsweise ihre eigenen Profile bearbeiten oder ihre Passwörter zurücksetzen. AD erfordert aber für jeden dieser Vorgänge die Rechte eines Administrators, wodurch die Mitarbeiter gezwungen sind, für jede Änderung den Helpdesk anzurufen. Das verzögert sowohl die Geschäftsabläufe, in die der Mitarbeiter involviert ist, als auch die Arbeit des Helpdesks, bei dem abhängig von der Größe des Unternehmens die Kosten und der Personalbedarf stark steigen. Die Lösung wären hier zusätzliche Self-Service-Management-Tools, die geringere Kosten verursachen.
:quality(80)/images.vogel.de/vogelonline/bdb/1248700/1248734/original.jpg "Tipps und Tricks, wie man SQL- und Exchange-Datenbanken durch automatische Überwachung sicherer macht, zeigen wir in diesem Video-Tipp. (canjoena - stock.adobe.com)")
Video-Tip: Sichere Datenbanken
SQL- und Exchange-Server mit Netwrix Auditor überwachen
Fazit
Active Directory ist zu Recht ein beliebtes Werkzeug, das sich stetig weiterentwickelt – allerdings auch Schwächen hat. Mit den richtigen Ergänzungstools sind diese Probleme jedoch meist einfach zu lösen, sodass der Dienst seine Stärken ausspielen kann und zum mächtigen Werkzeug wird. Natürlich können Systemadministratoren auch benutzerdefinierte Skripte oder Programme selbst schreiben, um diese Herausforderungen zu bewältigen, aber dies erfordert fortgeschrittene Fertigkeiten und viel Zeit. Rentabler ist hier daher meist eine Anschaffung zusätzlicher Werkzeuge. Skripte verringern im Ernstfall zudem oft die Reaktionsgeschwindigkeit und lösen nicht die grundsätzlichen Herausforderungen.
Die Frage ist also, welche Lösung die Schwächen von AD am besten ausgleicht. Die Aufmerksamkeit sollte dabei auf der Auditierung, Verwaltung und dem Reporting liegen. Die entscheidenden Merkmale sind daher die Transparenz der Lösung über die gesamte Infrastruktur, einschließlich AD, Exchange, Dateiserver und SharePoint, sowie die Möglichkeit, SIEM-Lösungen, Unix- sowie Linux-Systemen zu integrieren.
Zusätzlich kann das passende Tool im Idealfall kontrollieren, welche Mitarbeiter welche Verwaltungsmöglichkeiten für das Active Directory haben. Es sollte möglich sein, alle Vorgänge rund um das Erstellen, Entfernen sowie Ändern von Konten, Gruppen und Gruppenrichtlinien zu automatisieren und zu vereinfachen. Dazu gehört auch eine Self-Service-Funktion für grundlegende Aufgaben.
Um im Ernstfall die wichtigen Nachweise für die Fehlersuche zu haben und Audits zu ermöglichen, sollte der Audit-Trail über Jahre hinweg erfasst und sofern notwendig gespeichert werden, bis er ausgewertet wurde, um Sicherheitsuntersuchungen zu unterstützen und gesetzliche Anforderungen zu erfüllen.
Über den Autor
Gerald Lung ist Country Manager DACH bei der Netwrix Corporation.
(ID:45445800)
:quality(80)/p7i.vogel.de/wcms/e9/cc/e9cc735d56e152ad860a9a309f81acc3/0112630557.jpeg "Der Security-Insider Deep Dive ist ein technisch tiefgehender Blick auf eine Security-Lösung - von Technikern für Techniker! (Bild: Vogel IT-Medien / Specops)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")