:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Schutz von Active Directory gegen Cyberkriminelle Sichere Admin-Arbeitsstationen für ein sicheres AD
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/6c/646ccbe6c1853/microsoft.png "microsoft (Microsoft)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Im Rahmen der Absicherung von Active Directory spielen sichere PCs zur Verwaltung eine wesentliche Rolle. Wir zeigen in diesem Beitrag, warum ein separater Admin-PC für Verwaltungsaufgaben ein wichtiger Faktor ist, um die Sicherheit in Active Directory zu gewährleisten.
Bei der Verwaltung von Active Directory spielt die Sicherheit eine wesentliche Rolle. Das gilt auch dann, wenn parallel Azure AD zum Einsatz kommt. Daher sollten Admins bei der Verwaltung von AD einige Punkte beachten, um die Sicherheit deutlich zu verbessern.
Zunächst ist es sehr wichtig, dass jeder Administrator in Active Directory ein separates Benutzerkonto erhält, das lediglich zur Verwaltung genutzt wird. Die tägliche Arbeit von Admins sollte mit eigenen Benutzerkonten erfolgen, die nur über genau die Rechte verfügen, die unbedingt nötig sind.
:quality(80)/p7i.vogel.de/wcms/ae/a4/aea454941d3c758c676e1c8d0ac9501b/0112931764.jpeg "Die Gerätesicherheit in Windows 11 spielt vor allem bei Admin-PCs eine wichtige Rolle.")
:quality(80)/p7i.vogel.de/wcms/5d/ff/5dff498883d9c2f041245298632b8f80/0112931766.jpeg "Die Kernisolierung in Windows 11 ist eine wichtige Sicherheitsfunktion.")
:quality(80)/p7i.vogel.de/wcms/9b/31/9b319ee72b2fc9d394afbe74c2e89162/0112931772.jpeg "Lässt sich die Speicher-Integrität nicht aktivieren, zeigt die Windows Sicherheits-App welche Programme oder Treiber dafür verantwortlich sind.")
:quality(80)/p7i.vogel.de/wcms/fc/07/fc0777c28366de5bc51b8c938b633e99/0112931771.jpeg "Treiber, welche die Sicherheitsfunktionen in Windows 11 aushebeln, sollten auf Admin-PCs unbedingt deinstalliert werden.")
Die Verwaltungsaufgaben in Active Directory sollten mit Benutzerkonten erfolgen, die nur zur Verwaltung zum Einsatz kommen, sonst für keine anderen Aufgaben. Auch diese Konten sollten nur die notwendigen Rechte erhalten. Es ist an dieser Stelle zudem wichtig, dass jeder Administrator sein eigenes Adminkonto erhält und kein gemeinsames Konto zum Einsatz kommt. Das stellt sicher, dass Änderungen und Verwaltungsaufgaben nachverfolgbar sind. Außerdem lässt sich dadurch vermeiden, dass das Adminkonto von verschiedenen Stellen aus angegriffen werden kann.
Die Verwaltung über sichere Admin-PCs als wichtiger Faktor für die AD-Sicherheit
Damit ein Active Directory nicht durch die Unsicherheit von herkömmlichen Computern oder Arbeitsstationen gefährdet wird, sollte die Verwaltung der Umgebung von speziellen Arbeitsstationen aus verwaltet werden, die ansonsten keine anderen Aufgaben haben. Das stellt sicher, dass Sicherheitslücken anderer Anwendungen keine negativen Auswirkungen auf das Active Directory haben. Außerdem lassen sich dadurch die Netzwerkzugriffe deutlich reduzieren, und es sind weniger offene Ports auf den Admin-PC notwendig.
In älteren Umgebungen mit Red Forests nach dem Prinzip Enhanced Security Administrative Environment (ESAE) wurden dazu Privileged Access Workstations (PAW) aufgebaut. Bei modernen Umgebungen mit Privileged Access Strategy und dem Zero Trust Rapid Modernization Plan (RAMP) gibt es diese Arbeitsstationen in ähnlicher Form. Wenn Unternehmen daher auf ESAE setzen und in Zukunft parallel Azure AD einsetzen wollen, kann der klassische Ansatz modernisiert werden. Die Verwaltung findet dann weiterhin über PAWs (Privileged Access Workstations) statt, um die Angriffsvektoren in Active Directory zu reduzieren.
Bereitstellung mit Windows Autopilot
Generell ist die Bereitstellung von Verwaltungs-PCs für privilegierte Benutzerkonten und Admins auch mit Windows Autopilot möglich. Microsoft empfiehlt über die Absicherung mit dem Zero Trust Rapid Modernization Plan (RAMP) die Verwendung von Hardware, die möglichst viele Sicherheitsfunktionen von Windows 10/11 unterstützt. Die Bereitstellung sollte möglichst automatisiert erfolgen, zum Beispiel über Windows Autopilot. Wir haben das Thema bereits im Beitrag "Windows AutoPilot und Microsoft Endpoint Manager" behandelt. Generell empfiehlt Microsoft, die Arbeitsstationen im Netzwerk und auch die Verwaltungs-PCs der Admins möglichst automatisiert bereitzustellen und idealerweise auch automatisiert zu verwalten, zum Beispiel mit Microsoft Endpoint. Dabei kommt Intune zum Einsatz und möglichst Microsoft Defender für Endpoint.
Die wichtigsten Sicherheitseinstellungen für Windows 10/11-Admins-PCs
Damit die Verwaltungs-Computer maximal sicher sind, sollten folgende Funktionen verfügbar sein:
- Trusted Platform Module (TPM) 2.0
- BitLocker-Laufwerkverschlüsselung
- UEFI Secure Boot
- Über Windows Update verteilte Treiber und Firmware
- Aktivierte Virtualisierung und HVCI
- HVCI-bereite Treiber und Apps
- Windows Hello
- DMA-E/A-Schutz
- Systemschutz
- Moderner Standbymodus
Dadurch lassen sich die in Windows 10/11 integrierten Sicherheitsfunktionen nutzen. Beim Einsatz von Windows 11 haben Unternehmen zudem den Vorteil, dass sie alle Sicherheitsfunktionen kostenlos einbinden können, die Microsoft in das Betriebssystem integriert hat.
TPM-Chips sind zwar durchaus umstritten, dennoch stellen sie eine grundlegende Sicherheitsfunktion dar, auf der viele Sicherheitsfunktionen von Windows 11 aufbauen. Mehr dazu ist im Beitrag "TPM 2.0 und Secure Boot – PCs fit machen für Windows 11" zu finden. Parallel dazu sind die empfohlenen Sicherheitseinstellungen von Microsoft sehr relevant für die Sicherheit. Wir haben dieses Thema im Beitrag "Security-Baseline für Windows Server 2022 und Windows 11" behandelt.
Admins-PCs mit Bitlocker verschlüsseln
Admin-PCs, vor allem wenn es sich um Notebooks handelt, mit denen Admins auch von unterwegs Netzwerke verwalten, sollten in jedem Fall mit Bitlocker verschlüsselt werden. Der Beitrag "10 Tipps zur Datenverschlüsselung in Windows" zeigt, wie das geht.
Natürlich sollte ein UEFI zum Einsatz kommen, das Secure Boot unterstützt, was bei der Installation von Windows 11 ohnehin Voraussetzung ist. Secure Boot vermeidet, dass Malware mit dem Betriebssystem startet und vor dem Virenscanner aktiv ist.
Sicherheitseinstellungen in Windows 11 prüfen und optimieren
Grundsätzlich sollten die Sicherheitseinstellungen von Windows 11 auf allen Arbeitsstationen aktiv sein. Auf Admin-PCs ist das aber besonders wichtig, denn hier sind Cyberattacken besonders gravierend. Bei allen möglichen Automatismen sollten Admins ab und an die Einstellungen manuell überprüfen. Denn es gibt durchaus die Möglichkeit, dass veraltete oder unsichere Systemtreiber ein komplettes Betriebssystem kompromittieren können. Ein Beispiel dafür ist ein unsicherer Maustreiber, der den Kernelschutz in Windows ausschaltet und dadurch wiederum Angriffe ermöglicht. Die installierten Treiber spielen daher für die Sicherheit ebenfalls eine wichtige Rolle.
Sicherheitseinstellungen in Windows 11: Kernisolierung und Co. sind wichtig
Bei Admin-PCs ist die App "Windows-Sicherheit" ein wichtiger Faktor für die Sicherheit. Neben den Standardeinstellungen für einen aktiven und aktuellen Malwarescanner spielt der Menüpunkt "Gerätesicherheit" eine wichtige Rolle. Bei "Datenverschlüsselung" und "Sicherheitschip" sollten keine Fehler angezeigt werden. Das zeigt, dass Bitlocker aktiv ist und der TPM-Chip funktioniert.
Der Menüpunkt "Kernisolierung" ist an dieser Stelle ebenfalls wichtig. Zeigt Windows 11 an dieser Stelle eine Warnung an, deutet das darauf hin, dass wichtige Sicherheitseinstellungen nicht richtig funktionieren. Mit "Details zur Kernisolierung" kann dies überprüft werden. Lässt sich an dieser Stelle die "Speicher-Integrität" nicht aktivieren, zeigt der Link "Inkompatible Treiber überprüfen" Treiber oder andere Softwarekomponenten an, die das Aktivieren dieser Funktion verhindert. Solche problematischen Treiber sollten auf herkömmlichen PCs genauso deinstalliert werden, wie auf Admin-PCs. Auch hier gilt aber, dass die Deinstallation des Treibers vor allem auf Admin-PCs die Sicherheit verbessert.
Das Gleiche gilt für die Einstellung "Schutz durch lokale Sicherheitsautorität". An dieser Stelle sollten darüber hinaus die beiden Funktionen "Microsoft Defender Credential Guard" und "Microsoft-Sperrliste gefährdeter Treiber" aktiviert sein. Das schützt die Anmeldedaten von Admins und verhindert, dass sich gefährliche Treiber installieren lassen und das System kompromittieren.
Benutzerkonten in Windows 11 schützen: Windows Hello
Natürlich müssen die Benutzerkonten der Administratoren in Windows 11 besonders geschützt werden. Dazu steht in der Windows-Sicherheits-App der Menüpunkt "Kontenschutz" zur Verfügung. An dieser Stelle ist es zu Beispiel möglich, Windows Hello zu überprüfen. Die Anmeldung von Windows Hello bietet den Vorteil, dass biometrische Anmeldefunktionen zur Verfügung stehen, welche die Anmeldesicherheit deutlich verbessern. Hier sollte in Windows 11 auf Admin-PCs auch immer ein Blick in den Bereich "Konten -> Anmeldeoptionen" gehen.
An dieser Stelle kann Windows Hello aktiviert und konfiguriert werden. Außerdem ist es an dieser Stelle möglich, die Sicherheitsfunktion "Dynamische Sperre" zu aktivieren. Dadurch kann Windows 11 den Zugriff auf den Admin-PC automatisch sperren, wenn ein Benutzer vergisst sich abzumelden.
Anwendungen auf Admin-PCs schützen
Über den Menüpunkt "App und Browsersteuerung" gibt es die drei Menüpunkte "Smart App Control", "Zuverlässigkeitsbasierter Schutz" und "Exploit-Schutz". Für jeden Menüpunkt stehen an dieser Stelle verschiedene Sicherheitsfunktionen zur Verfügung, die auf Admin-PCs unbedingt aktiviert werden sollten. Bei "Zuverlässigkeitsbasierter Schutz" gibt es hier zum Beispiel "Apps und Dateien überprüfen", "SmartScreen für Microsoft Edge" und "Phishing-Schutz". Bei "Exploit-Schutz" gibt es zahlreiche tiefergehende Einstellungen, die auf Admin-PCs so sicher wie nur möglich gesetzt werden sollten.
:quality(80)/p7i.vogel.de/wcms/75/a1/75a126f7409bcd380588ad6d1f6cda62/0112825909.jpeg "Zur Absicherung von Netzwerken sollte man erst dann über die Einführung von speziellen Security-Tools nachdenken, wenn alle Bordmittel ausgeschöpft und die Grundlagen priviligierter Benutzerkonten umgesetzt sind. (Bild: © deagreez - stock.adobe.com)")
Mehr Sicherheit im Netzwerk durch den Schutz privilegierter Konten
Privileged Access Strategy: So sichern Sie Active Directory ab
:quality(80)/p7i.vogel.de/wcms/52/1e/521e65ec4a0795032474eefd92e6c65c/0112775164.jpeg "Reichte beim On-Premises-Einsatz von Active Directory Enhanced Security Admin Environment zur Absicherung aus, muss es bei einer Kombination mit Azure AD jetzt Zero-Trust und eine Privileged-Access-Strategy sein. (Bild: © magele-picture - stock.adobe.com)")
Azure AD und Enhanced Security Admin Environment
Active-Directory-Schutz: Zero-Trust & Rapid Modernization Plan
(ID:49692294)
:quality(80)/p7i.vogel.de/wcms/50/a6/50a6070b15ddd2298bb23f34225b35f1/0111452944.jpeg "Windows 11 22H2 und Windows Server vNext bekommen eine ganze Reihe neuer Sicherheitsfunktionen, zum Schutz gegen Phishing, Ransomware, nicht vertrauenswürdiger Apps und Passwortdiebstahl. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/d4/e9d4123dc40cf9482fc81d9654bcd4cb/0109226021.jpeg "Unternehmen müssen ihr Active Directory unbedingt härten und vor Angriffen schützen, da hier alle Anmeldedaten der Benutzer gespeichert sind und damit auch die Rechte, mit denen Benutzer auf Ressourcen im Unternehmen zugreifen können. (Bild: Miha Creative - stock.adobe.com)")