Erst Drittanbieter-Tools machen das AD praktikabel

Herausforderung in Active Directory erkennen und lösen

| Autor / Redakteur: Gerald Lung / Andreas Donner

Das Active Directory ist unverzichtbar und wird mit Tools von Drittherstellern noch besser.
Das Active Directory ist unverzichtbar und wird mit Tools von Drittherstellern noch besser. (Bild: © Kheng Guan Toh - stock.adobe.com)

Microsoft Active Directory (AD) ist eine gut skalierbare Lösung zur Verwaltung von Benutzern und Ressourcen sowie für die Authentifizierung in einer Windows-Umgebung. Allerdings stoßen Systemadministratoren hier regelmäßig auf besondere Herausforderungen. Eine Vorabbetrachtung lohnt sich daher.

Mit ein wenig Vorbereitung können einfache Ergänzungen dabei helfen, unnötigen Aufwand bei der Administration von Active-Directory-Umgebungen zu vermeiden und eine bestmögliche Performance aus dem Verzeichnisdienst herauszuholen.

Audits und Protokolle sind umständlich

Viele Aufgaben erfordern eine ordnungsgemäße Protokollierung, Überwachung und Analyse. So müssen die Nutzer beispielsweise kritische Fehler und Änderungen an AD-Objekten sowie die Gruppenrichtlinien im Auge zu behalten, weil diese sowohl die Performance als auch die Sicherheit beeinträchtigen können. Allerdings sind die Protokolle sehr technisch, sodass benötigte Daten oft mühsam und manuell gesucht und gefiltert werden müssen; gelegentlich werden sogar fortgeschrittene PowerShell-Skriptfähigkeiten in Kombination mit dem Task Scheduler notwendig, um Alarme und Berichte zu erstellen. Die Ereignisprotokolle sind dann allerdings auf 4 GB begrenzt, sodass sehr schnell Teile des Protokolls überschrieben werden und wichtige Ereignisse verloren gehen.

In der Folge sollten Unternehmen SIEM- und Auditierungslösungen integrieren, um die Speicherung und Analyse von Protokollen zu vereinfachen. Diese Funktionen hätten zweifellos von Anfang an integriert werden müssen, denn nur so kann AD seine Stärken ausspielen, anstatt in Standardsituationen Umstände zu verursachen.

Wenn das Active Directory offline geht, fehlen Logins

Wie bei den meisten Systemen gibt es auch bei AD Gründe dafür, dass der Verzeichnisdienst gelegentlich offline ist. Das konfrontiert IT-Administratoren allerdings mit Störungen, weil der Benutzer die Zugriffsrechte auf seine Daten verliert, sobald seine authentifizierte Sitzung abläuft. Dies geschieht meistens innerhalb weniger Stunden und dann lassen sowohl Software als auch Hardware, die auf der Authentifizierung durch AD basieren, beispielsweise IIS-Seiten und VPN-Server, keine Anmeldung mehr zu. Abhängig von der Konfiguration werden die Benutzer entweder sofort aus dem System entfernt oder die bestehenden Sitzungen wenigstens bis zum Logout beibehalten.

Umgekehrt können sich Benutzer auf Computern anmelden, die sie kürzlich benutzt haben, weil sie ein zwischengespeichertes Kennwort oder ein Authentifizierungsticket besitzen. Nur Nutzer, die einen bestimmten PC noch nie oder vor langer Zeit das letzte Mal benutzt haben, sind auf eine neue Verbindung angewiesen. Während eines längeren Ausfalls wird sich allerdings niemand mehr mit einem Domain-Account anmelden können, weil die zwischengespeicherten Authentifizierungen zwangsläufig ablaufen werden.

Um diese Probleme zu vermeiden, empfehlen die Best Practices, mindestens zwei Active Directory Domain Controller redundant und mit Failover einzusetzen. Auf diese Weise kann ein Windows Server nach einem Ausfall bspw. neu installiert werden, während der zweite DC die Aufgaben des Active Diretory übernimmt. Dazu muss der zweite Server als DC in einer bestehenden Domäne eingerichtet und alles ohne Ausfallzeiten repliziert werden. Der Nachteil dieser Lösung ist, dass durch die zusätzlich notwendige Hardware und Lizenzierung weitere Kosten entstehen.

Die Beliebtheit des Dienstes lockt Angreifer an

Es gibt viele Techniken und Strategien für Hacker ein AD anzugreifen, weil es der beliebteste Verzeichnisdienst und entsprechend weit verbreitet ist. AD-Server verfügen in der Regel über eine Internetverbindung, wodurch Angreifer die Möglichkeit bekommen, aus der Ferne an die Schlüssel zu Ihren Kronjuwelen zu gelangen. Eine besondere Schwäche ist in diesem Zusammenhang das verwendete Kerberos-Authentifizierungsprotokoll mit symmetrischer Kryptografie-Architektur. Zwar werden die Schwachstellen regelmäßig gepatcht, allerdings werden auch ständig neue Angriffsvektoren entdeckt, was bei der weiten Verbreitung der Lösung allerdings zu erwarten ist.

Bei Active Directory fehlt ein grafisches User Interface

Der Verzeichnisdienst bündelt mehrere Programme, wie zum Beispiel Active Directory Users and Computers (ADUC) sowie die Group Policy Management Console (GPMC), um Unternehmen bei der Verwaltung von Daten und Richtlinien innerhalb des Verzeichnisses zu unterstützen. Allerdings erfordert auch hier das Einfügen von Objektparametern umfassende Kenntnisse im PowerShell-Skripting; es gibt keine Warnungen und die Berichte beschränken sich auf exportierte .txt-Dateien. Die Möglichkeiten der Delegation sind ebenfalls begrenzt. Viele Unternehmen teilen Domänen daher auf, um den administrativen Zugriff zu begrenzen, wodurch allerdings eine unübersichtliche Verzeichnisstruktur geschaffen wird, deren Verwaltung umständlich ist.

Unternehmen setzen deshalb oft Lösungen von Drittanbietern zur Verwaltung von Active Directory ein, um Administratorenrechte viel granularer zu kontrollieren als dies normalerweise möglich ist. Eine bessere Kontrolle über die Identitäts-, Objektzugriffs- und die Kontoverwaltung wird so möglich. AD-Management-Tools von Drittanbietern können in der Regel die Vorgänge rund um die Erstellung, Entfernung und Änderung von Konten, Gruppen und Gruppenrichtlinien automatisieren und bei der Untersuchung von gesperrten Accounts helfen.

Das fehlende Self-Service-Portal belastet den Helpdesk

Normalerweise ist es sinnvoll, wenn Benutzer bzw. Anwender bestimmte Aufgaben selbst durchführen können, wie beispielsweise ihre eigenen Profile bearbeiten oder ihre Passwörter zurücksetzen. AD erfordert aber für jeden dieser Vorgänge die Rechte eines Administrators, wodurch die Mitarbeiter gezwungen sind, für jede Änderung den Helpdesk anzurufen. Das verzögert sowohl die Geschäftsabläufe, in die der Mitarbeiter involviert ist, als auch die Arbeit des Helpdesks, bei dem abhängig von der Größe des Unternehmens die Kosten und der Personalbedarf stark steigen. Die Lösung wären hier zusätzliche Self-Service-Management-Tools, die geringere Kosten verursachen.

Fazit

Active Directory ist zu Recht ein beliebtes Werkzeug, das sich stetig weiterentwickelt – allerdings auch Schwächen hat. Mit den richtigen Ergänzungstools sind diese Probleme jedoch meist einfach zu lösen, sodass der Dienst seine Stärken ausspielen kann und zum mächtigen Werkzeug wird. Natürlich können Systemadministratoren auch benutzerdefinierte Skripte oder Programme selbst schreiben, um diese Herausforderungen zu bewältigen, aber dies erfordert fortgeschrittene Fertigkeiten und viel Zeit. Rentabler ist hier daher meist eine Anschaffung zusätzlicher Werkzeuge. Skripte verringern im Ernstfall zudem oft die Reaktionsgeschwindigkeit und lösen nicht die grundsätzlichen Herausforderungen.

Die Frage ist also, welche Lösung die Schwächen von AD am besten ausgleicht. Die Aufmerksamkeit sollte dabei auf der Auditierung, Verwaltung und dem Reporting liegen. Die entscheidenden Merkmale sind daher die Transparenz der Lösung über die gesamte Infrastruktur, einschließlich AD, Exchange, Dateiserver und SharePoint, sowie die Möglichkeit, SIEM-Lösungen, Unix- sowie Linux-Systemen zu integrieren.

Zusätzlich kann das passende Tool im Idealfall kontrollieren, welche Mitarbeiter welche Verwaltungsmöglichkeiten für das Active Directory haben. Es sollte möglich sein, alle Vorgänge rund um das Erstellen, Entfernen sowie Ändern von Konten, Gruppen und Gruppenrichtlinien zu automatisieren und zu vereinfachen. Dazu gehört auch eine Self-Service-Funktion für grundlegende Aufgaben.

Gerald Lung.
Gerald Lung. (Bild: Netwrix)

Um im Ernstfall die wichtigen Nachweise für die Fehlersuche zu haben und Audits zu ermöglichen, sollte der Audit-Trail über Jahre hinweg erfasst und sofern notwendig gespeichert werden, bis er ausgewertet wurde, um Sicherheitsuntersuchungen zu unterstützen und gesetzliche Anforderungen zu erfüllen.

Über den Autor

Gerald Lung ist Country Manager DACH bei der Netwrix Corporation.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45413190 / LAN- und VLAN-Administration)