Um an Anmeldedaten zu gelangen, die wiederum den Zugang zu sensiblen Daten ermöglichen, steht das Active Directory im Fokus von Cyberkriminellen. An der Stelle sollten daher vor allem die IT gemeinsam mit dem DSB ein aufmerksames Auge auf die beste Absicherung haben.
Übersicht
1) Was ist und nützt Active Directory?
Das Active Directory (AD) ist ein Verzeichnisdienst, der von Microsoft entwickelt wurde und in Windows-basierten Netzwerken verwendet wird. Es fungiert als zentrale Datenbank, in der Informationen über Netzwerkressourcen wie Benutzerkonten, Computer, Gruppenrichtlinien und andere Netzwerkobjekte gespeichert werden. Das Active Directory ermöglicht die zentrale Verwaltung und Authentifizierung von Benutzern, die auf das Netzwerk zugreifen möchten.
Mit dem Active Directory können Administratoren Benutzerkonten erstellen, verwalten und überwachen. Es bietet auch Funktionen zur Verwaltung von Zugriffsrechten und Sicherheitsrichtlinien für verschiedene Ressourcen im Netzwerk. Durch die Verwendung des Active Directory können Benutzer sich mit denselben Anmeldeinformationen bei verschiedenen Geräten im Netzwerk anmelden und auf ihre persönlichen Dateien und Einstellungen zugreifen.
Darüber hinaus ermöglicht das Active Directory die Organisation von Netzwerkressourcen in einer hierarchischen Struktur, die als Verzeichnisstruktur bezeichnet wird. Diese Struktur besteht aus Domänen, Organisationseinheiten (OU) und Objekten. Domänen sind logische Abgrenzungen innerhalb eines Netzwerks und können verschiedene Administrationsgrenzen haben. Organisationseinheiten dienen zur Gruppierung von Objekten wie Benutzern oder Computern für eine einfachere Verwaltung.
Insgesamt bietet das Active Directory eine robuste und skalierbare Lösung für die Verwaltung von Netzwerken in Unternehmen und Organisationen. Es ist eine wichtige Komponente vieler Windows-basierter IT-Infrastrukturen und spielt eine zentrale Rolle bei der Bereitstellung von Sicherheit, Authentifizierung und Zugriffskontrolle.
2) Mangelnder Schutz von Anmeldedaten
Mit über 60 % sind Anmeldedaten laut dem Verizon Data Breach Incident Report bei Sicherheitsverletzungen die begehrteste Datenart. Fast 80 % der Organisationen haben in den vergangenen zwei Jahren im Zusammenhang mit Identitäten eine Sicherheitsverletzung erlebt. Mittlerweile sind vor allem Remotezugangsdaten sehr beliebt. „Viele Datenschutzverletzungen [werden] durch Sicherheits-Identity-Tools verursacht, die fehlerhaft oder unvollständig konfiguriert wurden oder deren Konfiguration veraltet ist“ (Gartner, Predicts 2022).
3) Empfehlungen
Durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden Empfehlungen bereitgestellt, damit das Active Directory so abgesichert werden kann, dass ein unberechtigtes Eindringen in das Netzwerk nicht mehr so leicht möglich ist. Zu den Basisanforderungen zählen beispielsweise, dass ein geeignetes, möglichst hohes Domain Functional Level gewählt und die Begründung geeignet dokumentiert wird. „Administrative Delegationen MÜSSEN mit restriktiven und bedarfsgerechten Berechtigungen ausgestattet sein.“ Außerdem muss sich jeder Account eindeutig einem Mitarbeiter zuordnen lassen. „Änderungen auf Domänen-Ebene und an der Gesamtstruktur des Active Directory sollten überwacht, protokolliert und ausgewertet werden.“ Auf der Website „Active Directory Security“ erhalten Sie viele weiterführende Informationen zu AD-Sicherheit.
Auch Microsoft unterstützt Organisationen mit verschiedenen Vorlagen und Informationen die die Sicherheit in Active Directory verbessern sollen.
Darüber hinaus sind Tools wie PingCastle nützlich. Selbst in der kostenlosen Version zeigt Ihnen das Tool binnen weniger Minuten die Sicherheitslücken sowie entsprechende Verbesserungsempfehlungen im Active Directory an.
Eine weitere Empfehlung zur Absicherung ist die LDAP-Signierung und die Aktivierung von SSL beim SSL-Einsatz. Nähere Informationen zur praktischen Einrichtung und zum Thema „LDAP-Signierung und LDAP Channel Binding für Domänencontroller“ finden Sie hier. Ein noch sicherer Schritt ist die Verschlüsselung von LDAP mit SSL (LDAPS), wodurch sich der Datenverkehr zwischen Domänencontrollern und Clients verschlüsseln lässt. Mehr Informationen zur Einrichtung dessen finden Sie hier.
Abschließend ist noch das Tool Specops Password Auditor zur Überprüfung der Sicherheit von Benutzerkonten zu erwähnen. Es scannt das Active Directory nicht nur nach unsicheren Passwörtern, sondern auch nach Passwörtern, die im Internet als bereits gehackt bekannt sind.
4) Fazit
Sicherheitslücken können Sie mit einigen kostenlosen Tools aufzeigen und ohne teure Zusatzlösung verbessern. Darüber hinaus können die Empfehlungen von BSI und Microsoft im eigenen Netzwerk über Vorlagen umgesetzt werden. Die IT-Abteilung sollte unbedingt darauf achten, die Sicherheitsempfehlungen von Microsoft (Signierung von LDAP sowie die Umstellung von SSL auf LDAP) umzusetzen. Auch Update, die von Microsoft jeden zweiten Dienstag des Monats kostenlos zur Verfügung gestellt werden, sollten beachtet werden. Und letztlich sollten gerade die privilegierten Benutzerkonten, die über erhöhte Rechte verfügen, mit entsprechenden Bordmitteln abgedeckt werden.
Melden Sie sich gerne mit weiteren Fragen bei uns.
Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe 12/2022