Berechtigungskontrolle

Insider-Angriffe übers Active Directory verhindern

Seite: 2/2

Anbieter zum Thema

Best Practices für mehr AD-Sicherheit

Auch wenn es kein Universalmittel für eine hohe Active-Directory-Sicherheit gibt, haben sich dennoch einige Best Practices als sehr wirksam erwiesen:

  • Für besonders gefährdete Gruppen werden zeitlich begrenzte Zugriffsrechte vergeben. Statt einer unbefristeten Mitgliedschaft in einer Gruppe gibt es temporäre Zugehörigkeiten mit einem eindeutigen Anfangs- und Enddatum;
  • Es darf keine Schlupflöcher geben, um unautorisiert Benutzerkonten anzulegen. Dies darf nur eine kleine Gruppe eigens definierter Administratoren. Versucht ein anderer, ein Benutzerkonto anzulegen, wird sofort Alarm ausgelöst. Zudem müssen alle Änderungen an zentralen Einstellungen und in den Gruppen ausnahmslos aufgezeichnet werden;
  • Es werden Funktionen eingerichtet, um bei jeder verdächtigen Aktion oder der Veränderung von Benutzerrechten sofort einen Alarm auszulösen. Das gleiche gilt für Datenbanken und Server mit vertraulichen Daten;
  • Es gibt automatisierte Verfahren zur Abmeldung von Benutzern. Wechselt ein Mitarbeiter in eine andere Abteilung oder scheidet er aus, werden all seine bisherigen Berechtigungen und Konten, einschließlich des VPN-Zugangs, automatisch deaktiviert oder gelöscht.

Ob unbeabsichtigt oder bösartig: Insider-Angriffe richten immer einen immensen Schaden an. Unternehmen müssen sich daher ständig von Neuem für ein Abwägen zwischen einer weitgehend autonomen Arbeit von Systemadministratoren und einer restriktiven Vergabe von Zugriffsrechten für bestimmte Tätigkeiten entscheiden.

Daher ist es sinnvoll, sich auf mehrere konkrete Risikoszenarien vorzubereiten und für deren Abwehr Schutzmaßnahmen zu entwickeln. Das stärkt nach Meinung von Dell die Active-Directory-Security und verbessert die generelle IT-Sicherheitslage.

* Bert Skorupski ist Senior Manager Sales Engineering bei Dell Software.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:43756214)