Tipps für die sichere Verwaltung von Microsoft Active Directory

Ein Missmanagement von Microsoft Active Directory (AD) kann gravierende Folgen haben: Bis zu 90 Prozent der potenziell auftretenden Datenschutzverletzungen lassen sich auf Fehler bei der AD-Verwaltung zurückführen. [...]

Eine saubere Verwaltung von Microsoft Active Directory kann einiges zum Datenschutz beitragen. (c) Fotolia/sdecoret
Eine saubere Verwaltung von Microsoft Active Directory kann einiges zum Datenschutz beitragen. (c) Fotolia/sdecoret

Ein jüngst von Skyport Systems veröffentlichter Bericht zeigt, dass ein Missmanagement von Microsoft Active Directory (AD) gravierende Folgen haben kann. Bis zu 90 Prozent der potenziell auftretenden Datenschutzverletzungen lassen sich auf Fehler bei der AD-Verwaltung zurückführen. Gleichzeitig geht die Hälfte der Befragten fälschlicherweise davon aus, dass ihre AD-Umgebung sicher ist. Untersuchungen von One Identity bestätigen diese Ergebnisse ebenso wie die jahrelange Erfahrung darin, Unternehmen bei der Absicherung und optimierten Verwaltung von AD zu unterstützen.

Worin aber bestehen die Gefahren genau und woran liegt es, dass Firmen sie so häufig unterschätzen? AD gibt es in jedem Unternehmen. Die große Mehrzahl nutzt Microsofts Verzeichnisdienst im Zentrum des Unternehmens. Dazu kommt eine steigende Zahl von Anwendern, die sich zusätzlich für die cloudbasierte Variante, Azure Active Directory (AAD), entscheiden. Das zwingt Firmen dazu, eine hybride AD-Umgebung aufrechtzuerhalten, in der on-premises AD und das cloudbasierte AAD miteinander koexistieren müssen. Wenn wir im Verlauf dieses Textes von AD sprechen beziehen wir uns immer auf hybride Umgebungen, die sowohl AD als auch AAD einschließen.

Attraktives Ziel

Die weite Verbreitung von AD und seine entscheidende Rolle bei der Kontrolle des Benutzerzugriffs machen den Verzeichnisdienst für Hacker zu einem besonders attraktiven Ziel. Das allein erklärt allerdings noch nicht die fundamentalen Schwächen mit denen Unternehmen es zu tun haben. Dazu sollte man sich einige der Gründe näher ansehen, warum und wie AD zu einer Quelle zusätzlicher Risiken werden kann:

Die Verwaltung von Active Directory-Umgebungen ist umständlich und fehleranfällig: Für jede IT-Abteilung ist das Aufsetzen und Verwalten von Benutzerkonten über deren gesamten Lebenszyklus hinweg langwierig und mühsam, wenn man ausschließlich auf die nativen Tools angewiesen ist, die AD mitbringt. Erschwert von der Tatsache, dass AAD vollkommen unterschiedliche Verwaltungswerkzeuge nutzt, verglichen mit der on-premises-AD-Umgebung. Das betrifft ebenso unterschiedliche Tools und Prozesse für die Verbindung mit weitverbreiteten Systemen wie Outlook und SharePoint, so dass die gesamte AD-Verwaltung anfällig für Sicherheitslücken ist.

Keine eindeutigen Verantwortlichkeiten für Aktionen im AD: AD-Admins, die sich mit diesen Verwaltungsaufgaben herumschlagen, teilen sich typischerweise ein AD-Administrationskonto mit allumfassenden Berechtigungen. Das führt zwangläufig zu einem Mangel an individueller Verantwortlichkeit und dem Verzicht auf ein Least-Privilege-Konzept bei Vergeben der Zugriffsberechtigungen.

Eine sorgfältige IAM-Wartung ist erforderlich: Mit dem Identity-and-Access-Management (IAM) sind verschiedene AD-Aktivitäten verknüpft. Dazu gehören die Verwaltung und das Zurücksetzen von Passwörtern, Authentifizierung und Single-Sign-On. Die AD-Verwaltung und die damit verbundenen Sicherheitsmaßnahmen auf andere nicht Windows-basierte Systeme auszuweiten ist so gut wie unmöglich, wenn man sich allein auf AD verlässt. Seit AD im Jahr 2000 erstmals auf den Markt kam, haben viele Firmen dieselbe Plattform über all die Jahre beibehalten und eine überhöhte Zahl von Benutzern angehäuft, die alle auf das Netzwerk zugreifen können. Die Folge: die Konten werden nur sehr eingeschränkt verwaltet und gewartet.

Vier Empfehlungen

Trotz des alltäglichen Missmanagements und den daraus resultierenden Sicherheitslücken, wird uns AD noch lange erhalten bleiben. Für Firmen ist es also ratsam, die Sicherheit in ihren AD-Umgebungen zu verbessern, Risiken zu minimieren und das bestmögliche aus ihren Investitionen herauszuholen. Dazu sollten sie vier grundlegende Empfehlungen beherzigen:

AD-Verwaltung mit den richtigen Tools automatisieren: Eine automatisierte AD-Verwaltung mit den richtigen Tools sorgt für in sich konsistente Workflows und verschafft mehr Kontrolle über die notwendigen Verwaltungsaufgaben innerhalb des gesamten Lebenszyklus. Viele Firmen, die solche Lösungen einsetzen, profitieren unter anderem von Funktionen wie dem automatischen Erstellen von Konten und einer sicheren Zugriffskontrolle. Die Zeit für die Provisionierung in AD und AAD und den mit ihnen verbundenen Systemen konnten diese Unternehmen von Stunden oder Tagen auf nur noch Minuten reduzieren. Und sie konnten menschliche Fehler und Inkonsistenzen beseitigen, für die manuelle Prozesse und native Tools naturgemäß besonders anfällig sind.

Verwalten Sie Ihre AD-Administratoren: Das Konto zur AD-Administration teilen sich gemeinhin verschiedene Administratoren. Es ist ein übermächtiges Konto und es ist anonym. Im Grunde ist allein das schon die Garantie für ein Sicherheitsdesaster. Der beste Ansatz diesen hochprivilegierten Zugriff abzusichern ist ein Least-Privilege-Modell für Administratoren. Anstatt, dass alle Administratoren diese übermächtigen Anmeldeinformationen teilen, erhält jeder von ihnen genau die Zugriffsberechtigungen, die er braucht um seine Aufgaben zu erfüllen. Nicht mehr und nicht weniger. Jetzt ist jede Aktivität, die von einem der Administratoren ausgeht, an seine individuelle Verantwortlichkeit gekoppelt. Und Hacker haben ein lukratives Ziel weniger.

AD-Risiken analysieren: Wie schon erwähnt ist es eines der größten Risiken in Active Directory, wenn ein legitimer Benutzer über mehr Rechte verfügt als er eigentlich benötigt. Es gibt inzwischen Technologien, die in der Lage sind Berechtigungen und die damit verbundenen Aktionsmöglichkeiten von Benutzern oder Administratoren in AD zu evaluieren. Bei übermäßigen Berechtigungen, einem erhöhten Risiko, schlägt das System Alarm, und man kann sofort geeignete Maßnahmen ergreifen.

Machen Sie AD zu einem Teil Ihres IAM-Programms: AD bringt zahlreiche Sicherheitsimplikationen mit sich und hat zugleich eine exponierte Stellung innerhalb der Unternehmens-IT. Niemand kann es sich leisten AD wie einfach noch ein System mehr zu behandeln. Einige der erfolgreichsten IAM-Programme stützen sich soweit wie möglich auf die bestehende AD-Infrastruktur und dehnen sie auf so viele Nicht-Windows-Systeme aus wie sie können. Zudem lassen sich die Vorteile von AAD und Cloud-Funktionalitäten nutzen, wenn das betreffende IAM-Programm mit den Herausforderungen der digitalen Transformation Schritt halten muss.

Die Risiken, die mit einem Missmanagement von Active Directory und Azure AD einhergehen, sind real. Und sie werden nur weiter steigen, wenn diese kritischen Systeme innerhalb der Unternehmensumgebung noch wichtiger werden. Allerdings tragen die beschriebenen Empfehlungen und Technologien ganz erheblich dazu bei, den Erfolg der IT zu gewährleisten und gleichzeitig Sicherheit und Compliance zu stärken. Eine automatisierte Verwaltung der Konten in AD, delegierte Zugriffsberechtigungen auch für Admin-Konten, die Analyse der Berechtigungen hinsichtlich auftretender Anomalien und schließlich ein vorgelagertes IAM-Programm für eine erfolgreiche AD-Nutzung sind vergleichsweise einfach zu realisieren und dennoch enorm wirkungsvoll.

* Susanne Haase ist IAM Solutions Architect bei One Identity.


Mehr Artikel

News

Game Development Studie 2024: Knowhow aus Österreich ist weltweit gefragt

Nie zuvor hat eine so große Zahl heimischer Entwickler zum Erfolg internationaler Top-Games aber auch zur digitalen Transformation der österreichischen Wirtschaft beigetragen. Die heimischen Game Developer generieren einen gesamtwirtschaftlichen Umsatz von 188,7 Millionen Euro. Jeder Arbeitsplatz in einem Unternehmen der Spieleentwicklung sichert mehr als einen weiteren Arbeitsplatz in Österreich ab. […]

News

Kunden vertrauen Unternehmen immer weniger

Das Vertrauen von Verbraucher:innen in Unternehmen hat den niedrigsten Stand der letzten Jahre erreicht. Fast drei Viertel (72 Prozent) der Verbraucher:innen weltweit vertrauen Unternehmen weniger als noch vor einem Jahr. Als wichtigsten Grund geben 65 Prozent der Befragten in einer Umfrage von Salesforce an, dass Unternehmen leichtfertig mit den Daten ihrer Kund:innen umgehen. […]

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*