Ein kritischer Blick auf Einstellungen, Compliance und strategische Pläne lohnt sich

7 typische Fehler im Umgang mit Active Directory

| Autor / Redakteur: Gerald Lung / Andreas Donner

Die Verwaltung des Active Directory ist keine einfache Aufgabe und nimmt einige Zeit in Anspruch – doch Tools, Best Practices und Know-how helfen.
Die Verwaltung des Active Directory ist keine einfache Aufgabe und nimmt einige Zeit in Anspruch – doch Tools, Best Practices und Know-how helfen. (Bild: © dizain - stock.adobe.com)

Das Active Directory (AD) stellt viele mächtige Funktionen bereit, um Windows Server, Nutzerrollen und Zugriffsrechte zu verwalten. Allerdings sind weder die Handhabung noch die Verwaltung immer transparent. Deshalb kann es leicht zu Fehleinstellungen kommen, durch die ein Unternehmen seine Angriffsfläche für böswillige Hacker erhöht.

Es lohnt sich daher, kritisch mit den Einstellungen, der Compliance und den strategischen Plänen im Active Directory umzugehen und alles regelmäßig zu kontrollieren, um die häufigsten Fehler zu vermeiden oder schnell zu finden.

1. Das Adminkonto für tägliche Aufgaben nutzen

Sehr beliebt ist der Einsatz von Konten mit den Rechten eines Administrators für die alltäglichen Arbeitsabläufe. Routineaufgaben können so bequem und effizient erledigt werden, ohne sich ständig ab- und wieder anzumelden. Für die reguläre Anmeldung sollte aber unbedingt vermieden werden, die Konten für den Domänenadministrator oder sogar die lokalen Domänenaccounts zu verwenden, wenn die damit einhergehenden Berechtigungen nicht benötigen werden.

Für die reguläre Anmeldung an einem Gerät sollte generell ein einfaches Konto mit eingeschränkten Rechten vorgesehen werden, um Sicherheitsverletzungen zu vermeiden. Viele Kriminelle nutzen Methoden wie Spear-Phishing oder Malware-Injektionen, um an Benutzerdaten zu kommen oder Schaden anzurichten, während der Nutzer angemeldet ist. Umso mehr Rechte im Ernstfall mit einem kompromittierten Account verbunden sind, umso mehr Möglichkeiten stehen dem Angreifer zur Verfügung, der sich Zugang zu dem Konto verschafft.

2. Der Verzicht auf Zugriffsdelegation

Das Least-Privilege-Prinzip spielt im Fall der Adminkonten eine wichtige Rolle, denn es bedeutet, dem Nutzer immer nur so viele Zugriffsrechte einzuräumen, wie er für seine Arbeit benötigt. Der Verzicht auf eine angemessene Zugriffsdelegation stellt ein Risiko dar und sollte in puncto AD-Sicherheit für sehr allgemeine Verwaltungsaufgaben, beispielsweise das Entsperren von Konten oder das Zurücksetzen von Passwörtern nicht vorkommen.

Jedes Unternehmen sollte seine Prozesse sorgfältig evaluieren und entscheiden, wo Automatisierung und Delegation sinnvoll wären. Beispielsweise können die Berechtigungen zum Zurücksetzen von Passwörtern, dem Verbinden eines Computers mit der Domäne oder zum Ändern bestimmter Sicherheitsgruppen häufig an die Rolle des Helpdesks übergeben werden, anstatt dies mit Administratoren-Rechten aufzuführen. Die Delegation sollte daher effizient verwaltet werden – und hierfür stehen viele Best Practices zur Verfügung, die sehr hilfreich sind.

3. Die unzureichenden Backup- und Wiederherstellungspläne

Die Pläne zu Backups und der Wiederherstellung spielen im Ernstfall eine wichtige Rolle, um bei Störungen angemessen reagieren zu können und Ausfälle auf ein Minimum zu beschränken. Die Verantwortlichen sollten deshalb hinterfragen, wie schnell sie sich von einer nicht autorisierten Änderung erholen können.

Ein Beispiel dafür ist die versehentliche Löschung eines AD-Objekts. Eine gute Vorbereitung auf solche Situationen kann einen entscheidenden Unterschied machen. Die Administratoren sollten deshalb einen Tombstone oder Papierkorb konfigurieren, um die gelöschten Objekte schnell und unproblematisch wiederherstellen zu können. Dazu gehört ebenfalls, über die Delegation von Rechten nachzudenken und allgemeine Verwaltungsaufgaben, wie z. B. das Entsperren von Konten und das Zurücksetzen von Passwörtern, den richtigen Accounts zu zuordnen.

4. Die Verwaltung über einen Domänencontroller

Ein bekanntes Szenario ist hier, dass sich der Administrator physisch an einem Domänencontroller anmeldet und seine Verwaltungstools von diesem Server aus steuert. Diese Praxis ist nicht auf die normale Verwaltung von Objekten beschränkt – sie kann auch bei Gruppenrichtlinienverwaltung, DHCP- und DNS-Konsolen auftreten. Wie die Best Practices nahelegen, sollten Domänencontroller aber nur die Funktionen ausführen, die für die Domänenservices tatsächlich erforderlich sind. Die gesamte tägliche Verwaltung sollte nur über gesonderte und geschützte Geräte erfolgen.

5. Keine Deaktivierung veralteter Konten

Oftmals fehlt die Kommunikation oder die Zeit, Benutzerkonten kontinuierlich zu kontrollieren und zu aktualisieren. In vielen Fällen bedeutet das, dass die Accounts ausgeschiedener Mitarbeiter auch lange nach ihrem Weggang weiter bestehen. Ungenutzte Zugänge beeinflussen in der Regel nicht die Funktionsfähigkeit der IT, weshalb sie häufig nicht auffallen. Sie sind allerdings zusätzliche Angriffspunkte für böswillige Akteure, die dann unbefugt und unerkannt Daten manipulieren können. Die Administratoren sollten deshalb das AD regelmäßig aufräumen und veraltete Benutzer, Computer, Gruppen oder sogar GPOs löschen, um solche mögliche Angriffsvektoren und Netzwerkkomplikationen zu vermeiden.

6. Komplizierte Vorgaben für die Passwörter

Die Gestaltung der Passwörter lässt zwei unterschiedliche Ansichten und Ziele aufeinandertreffen: die Mitarbeiter und die Administratoren. Während die Nutzer von umfangreichen Regeln und der wiederkehrenden Änderung des Passworts oft genervt sind, bemängeln die Administratoren oftmals den zu sorglosen Umgang der Anwender mit ihren Zugangsdaten sowie die schlechte Qualität der Passwörter. Zur Steigerung der Sicherheit sollte hier ein praktikabler Kompromiss bezüglich der Richtlinien, Compliance und etablierten Best Practices gefunden werden.

Die normalen Benutzerpasswörter sollten immer ein Ablaufdatum haben, damit sichergestellt wird, dass eine Alternierung stattfindet. Beim Servicekonto sollte hingegen eine Automatisierung vermieden, aber ein regelmäßiger Reset eingeplant werden. Zusätzlich sollte sichergestellt werden, dass wenigstens die verschiedenen Accounts eines Nutzers, die mit demselben Benutzernamen verknüpft sind – besser noch alle seine Zugänge – mit unterschiedlichen Passwörtern abgesichert sind. So wird der Schaden begrenzt, wenn für eine Anwendung die Anmeldeinformationen in die falschen Hände gelangen, weil sie für keine anderen Konten verwendet werden können. Darüber hinaus sollte regelmäßig ein neuer Blick in aktuelle Best Practices geworfen werden, um bei der Sicherheit und Qualität des Passwortmanagements auf dem aktuellen Stand zu bleiben.

7. Kein Auditing und die fehlende Überwachung

In vielen Fällen wird das AD nur sporadisch auf Auffälligkeiten kontrolliert. Da die Größe des Ereignisprotokolls auf den Domänencontrollern eher klein ausfällt, entgehen jedoch viele Vorkommnisse oftmals der Beobachtung. Deshalb sollte das Protokoll immer auf die maximale Größe eingestellt werden, um Änderungen länger nachverfolgen zu können – insbesondere bei den Domänenadministratoren ist darüber hinaus eine regelmäßige, aktive Analyse verpflichtend.

Um Änderungen zu verfolgen, müssen außerdem die Audit-Richtlinien aktiviert werden. Für die Konfiguration der Richtlinien gibt es zahlreiche Best Practices, an die man sich halten sollte. Die Möglichkeit einer kontinuierlichen Nachverfolgung von Änderungen erleichtert im Ernstfall die Untersuchung und Behebung eines Fehlers erheblich.

Gerald Lung.
Gerald Lung. (Bild: Netwrix)

Fazit

Die Verwaltung des Active Directory ist keine einfache Aufgabe und nimmt einige Zeit in Anspruch, die den Administratoren im Alltag oft fehlt. In vielen Unternehmen, die auf das AD vertrauen, kommt es deshalb zu Vorfällen, die vermeidbar wären. Deshalb sollten Administratoren sich die Zeit nehmen, Best Practices anzuwenden und sich bewusst mit möglichen Security-Szenarien auseinanderzusetzen. Eine Vielzahl kostenloser und kostenpflichtiger Tools kann bei der Einrichtung des AD helfen, aufwendige Routineaufgaben zu erleichtern, kritische Szenarien zu vermeiden und wertvolle Zeit zu sparen.

Über den Autor

Gerald Lung ist Country Manager DACH bei Netwrix.

In der folgenden Bildergalerie "Active Directory im Fokus" finden Sie laufend aktualisiert eine Sammlung unserer besten und hilfreichsten Artikel zum Themenkomplex Active Directory:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45508896 / Client-/Server-Administration)