Gegen Missmanagement und Sicherheitslücken

Active Directory sicher verwalten

| Autor / Redakteur: Susanne Haase / Andreas Donner

Die Risiken, die mit einem Missmanagement von Active Directory einhergehen, sind real.
Die Risiken, die mit einem Missmanagement von Active Directory einhergehen, sind real. (Bild: © – profit_image – stock.adobe.com)

Active Directory (AD) gibt es in jedem Unternehmen. Oft steht es jedoch mit der Sicherheit in den AD-Umgebungen nicht zum Besten und viele Firmen unterschätzen die Risiken. Ein gefährlicher Fehler, denn Microsofts Verzeichnisdienst ist ein besonders attraktives Ziel für Hacker.

Ein Bericht von Skyport Systems zeigt, dass ein Missmanagement von Microsoft Active Directory (AD) gravierende Folgen haben kann. Bis zu 90 Prozent der potenziell auftretenden Datenschutzverletzungen lassen sich auf Fehler bei der AD-Verwaltung zurückführen. Gleichzeitig gehen 50 Prozent der Befragten fälschlicherweise davon aus, dass ihre AD-Umgebung sicher ist. Untersuchungen, die bei One Identity durchgeführt wurden, bestätigen diese Ergebnisse. Worin aber bestehen die Gefahren genau und woran liegt es, dass Firmen sie so häufig unterschätzen?

Die große Mehrzahl der Firmen nutzt Microsofts Verzeichnisdienst im Zentrum des Unternehmens. Dazu kommt eine steigende Zahl von Anwendern, die sich zusätzlich für die cloudbasierte Variante Azure Active Directory (AAD) entscheiden. Das zwingt Firmen dazu, eine hybride AD-Umgebung aufrechtzuerhalten, in der on-premises AD und das cloudbasierte AAD miteinander koexistieren müssen. Im Verlauf dieses Artikels bezieht sich „AD“ immer auf hybride Umgebungen, die sowohl AD als auch AAD einschließen.

Die weite Verbreitung von AD und seine entscheidende Rolle bei der Kontrolle des Benutzerzugriffs machen den Verzeichnisdienst für Hacker zu einem besonders attraktiven Ziel. Das allein erklärt allerdings noch nicht die fundamentalen Schwächen mit denen Unternehmen es zu tun haben. Deshalb sollte man sich drei Gründe näher ansehen, warum und wie AD zu einer Quelle zusätzlicher Risiken werden kann:

  • Umständliche und fehleranfällige Verwaltung von AD-Umgebungen: Für jede IT-Abteilung ist das Aufsetzen und Verwalten von Benutzerkonten über deren gesamten Lebenszyklus hinweg langwierig und mühsam, wenn man ausschließlich auf die nativen Tools angewiesen ist, die AD mitbringt – erschwert durch die Tatsache, dass On-Premises- und Cloud-Umgebungen vollkommen unterschiedliche Verwaltungswerkzeuge nutzen. Dies betrifft ebenso unterschiedliche Tools und Prozesse für die Verbindung mit weitverbreiteten Systemen wie Outlook und SharePoint, sodass die gesamte AD-Verwaltung anfällig für Sicherheitslücken ist.
  • Keine eindeutigen Verantwortlichkeiten für Aktionen im AD: AD-Admins, die sich mit diesen Verwaltungsaufgaben herumschlagen, teilen sich typischerweise ein AD-Administrationskonto mit allumfassenden Berechtigungen. Dies führt zwangsläufig zu einem Mangel an individueller Verantwortlichkeit und dem Verzicht auf ein Least-Privilege-Konzept beim Vergeben der Zugriffsberechtigungen.
  • Nachlässige IAM-Wartung: Mit dem Identity and Access Management (IAM) sind verschiedene AD-Aktivitäten verknüpft. Dazu gehören die Verwaltung und das Zurücksetzen von Passwörtern, Authentifizierung und Single Sign-on. Die AD-Verwaltung und die damit verbundenen Sicherheitsmaßnahmen auf andere nicht windowsbasierte Systeme auszuweiten ist so gut wie unmöglich, wenn man sich allein auf AD verlässt. Seit AD im Jahr 2000 erstmals auf den Markt kam, haben viele Firmen dieselbe Plattform über all die Jahre beibehalten und eine überhöhte Zahl von Benutzern angehäuft, die alle auf das Netzwerk zugreifen können. Folge: Die Konten werden nur sehr eingeschränkt verwaltet und gewartet.

Trotz des alltäglichen Missmanagements und der daraus resultierenden Sicherheitslücken wird uns AD noch lange erhalten bleiben. Für Firmen ist es also ratsam, die Sicherheit in ihren AD-Umgebungen zu verbessern, Risiken zu minimieren und das Bestmögliche aus ihren Investitionen herauszuholen. Hierzu sollten sie vier grundlegende Empfehlungen beherzigen:

1. Automatisierte AD-Verwaltung

Eine automatisierte AD-Verwaltung mit den richtigen Tools sorgt für in sich konsistente Workflows und verschafft mehr Kontrolle über die notwendigen Verwaltungsaufgaben innerhalb des gesamten Lebenszyklus. Viele Firmen, die solche Lösungen einsetzen, profitieren u.a. von Funktionen wie dem automatischen Erstellen von Konten und einer sicheren Zugriffskontrolle. Die Zeit für die Provisionierung in AD und den damit verbundenen Systemen konnten diese Unternehmen von Stunden oder Tagen auf nur noch Minuten reduzieren. Und sie konnten menschliche Fehler und Inkonsistenzen beseitigen, für die manuelle Prozesse und native Tools naturgemäß besonders anfällig sind.

2. Verwaltung der AD-Administratoren

Gemeinhin teilen sich verschiedene Administratoren das Konto zur AD-Administration. Es ist ein übermächtiges Konto und es ist anonym. Im Grunde ist allein das schon die Garantie für ein Sicherheitsdesaster. Der beste Ansatz, diesen hochprivilegierten Zugriff abzusichern, ist ein Least-Privilege-Modell für Administratoren. Anstatt, dass alle Administratoren diese übermächtigen Anmeldeinformationen teilen, erhält jeder von ihnen genau die Zugriffsberechtigungen, die er braucht, um seine Aufgaben zu erfüllen – nicht mehr und nicht weniger. Jetzt ist jede Aktivität, die von einem der Administratoren ausgeht, an seine individuelle Verantwortlichkeit gekoppelt. Und Hacker haben ein lukratives Ziel weniger.

3. Analyse der AD-Risiken

Wie schon erwähnt, ist es eines der größten Risiken in AD, wenn ein legitimer Benutzer über mehr Rechte verfügt als er eigentlich benötigt. Es gibt inzwischen Technologien, die in der Lage sind, Berechtigungen und die damit verbundenen Aktionsmöglichkeiten von Benutzern oder Administratoren in AD zu evaluieren. Bei übermäßigen Berechtigungen – einem erhöhten Risiko – schlägt das System Alarm und man kann sofort geeignete Maßnahmen ergreifen.

4. AD als Teil des IAM-Programms

AD bringt zahlreiche Sicherheitsimplikationen mit sich und hat zugleich eine exponierte Stellung innerhalb der Unternehmens-IT. Niemand kann es sich leisten, AD einfach als „noch ein System mehr“ zu behandeln. Einige der erfolgreichsten IAM-Programme (Identity and Access Management) stützen sich soweit wie möglich auf die bestehende AD-Infrastruktur und dehnen sie auf so viele Nicht-Windows-Systeme aus, wie sie können. Zudem lassen sich die Vorteile von AAD und Cloud-Funktionalitäten nutzen, wenn das betreffende IAM-Programm mit den Herausforderungen der digitalen Transformation Schritt halten muss.

Die Risiken, die mit einem Missmanagement von Active Directory und Azure AD einhergehen, sind real. Und sie werden weiter steigen, wenn diese kritischen Systeme innerhalb der Unternehmensumgebung noch wichtiger werden.

Susanne Haase.
Susanne Haase. (Bild: One Identity)

Allerdings tragen die beschriebenen Empfehlungen und Technologien ganz erheblich dazu bei, den Erfolg der IT zu gewährleisten und gleichzeitig Sicherheit und Compliance zu stärken. Eine automatisierte Verwaltung der Konten in AD, delegierte Zugriffsberechtigungen auch für Admin-Konten, die Analyse der Berechtigungen hinsichtlich auftretender Anomalien und schließlich ein vorgelagertes IAM-Programm für eine erfolgreiche AD-Nutzung sind vergleichsweise einfach zu realisieren und dennoch enorm wirkungsvoll.

Über die Autorin

Susanne Haase ist Senior Solutions Architect bei One Identity. One Identity liefert Lösungen für Identity Governance, Zugriffssteuerung und Verwaltung privilegierter Konten und unterstützt Unternehmen bei der Absicherung und optimierten Verwaltung von AD.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45195492 / LAN- und VLAN-Administration)