Ein Missmanagement von Microsoft Active Directory (AD) kann gravierende Folgen haben: Bis zu 90 Prozent der potenziell auftretenden Datenschutzverletzungen lassen sich auf Fehler bei der AD-Verwaltung zurückführen. [...]
Ein jüngst von Skyport Systems veröffentlichter Bericht zeigt, dass ein Missmanagement von Microsoft Active Directory (AD) gravierende Folgen haben kann. Bis zu 90 Prozent der potenziell auftretenden Datenschutzverletzungen lassen sich auf Fehler bei der AD-Verwaltung zurückführen. Gleichzeitig geht die Hälfte der Befragten fälschlicherweise davon aus, dass ihre AD-Umgebung sicher ist. Untersuchungen von One Identity bestätigen diese Ergebnisse ebenso wie die jahrelange Erfahrung darin, Unternehmen bei der Absicherung und optimierten Verwaltung von AD zu unterstützen.
Worin aber bestehen die Gefahren genau und woran liegt es, dass Firmen sie so häufig unterschätzen? AD gibt es in jedem Unternehmen. Die große Mehrzahl nutzt Microsofts Verzeichnisdienst im Zentrum des Unternehmens. Dazu kommt eine steigende Zahl von Anwendern, die sich zusätzlich für die cloudbasierte Variante, Azure Active Directory (AAD), entscheiden. Das zwingt Firmen dazu, eine hybride AD-Umgebung aufrechtzuerhalten, in der on-premises AD und das cloudbasierte AAD miteinander koexistieren müssen. Wenn wir im Verlauf dieses Textes von AD sprechen beziehen wir uns immer auf hybride Umgebungen, die sowohl AD als auch AAD einschließen.
Attraktives Ziel
Die weite Verbreitung von AD und seine entscheidende Rolle bei der Kontrolle des Benutzerzugriffs machen den Verzeichnisdienst für Hacker zu einem besonders attraktiven Ziel. Das allein erklärt allerdings noch nicht die fundamentalen Schwächen mit denen Unternehmen es zu tun haben. Dazu sollte man sich einige der Gründe näher ansehen, warum und wie AD zu einer Quelle zusätzlicher Risiken werden kann:
Die Verwaltung von Active Directory-Umgebungen ist umständlich und fehleranfällig: Für jede IT-Abteilung ist das Aufsetzen und Verwalten von Benutzerkonten über deren gesamten Lebenszyklus hinweg langwierig und mühsam, wenn man ausschließlich auf die nativen Tools angewiesen ist, die AD mitbringt. Erschwert von der Tatsache, dass AAD vollkommen unterschiedliche Verwaltungswerkzeuge nutzt, verglichen mit der on-premises-AD-Umgebung. Das betrifft ebenso unterschiedliche Tools und Prozesse für die Verbindung mit weitverbreiteten Systemen wie Outlook und SharePoint, so dass die gesamte AD-Verwaltung anfällig für Sicherheitslücken ist.
Keine eindeutigen Verantwortlichkeiten für Aktionen im AD: AD-Admins, die sich mit diesen Verwaltungsaufgaben herumschlagen, teilen sich typischerweise ein AD-Administrationskonto mit allumfassenden Berechtigungen. Das führt zwangläufig zu einem Mangel an individueller Verantwortlichkeit und dem Verzicht auf ein Least-Privilege-Konzept bei Vergeben der Zugriffsberechtigungen.
Eine sorgfältige IAM-Wartung ist erforderlich: Mit dem Identity-and-Access-Management (IAM) sind verschiedene AD-Aktivitäten verknüpft. Dazu gehören die Verwaltung und das Zurücksetzen von Passwörtern, Authentifizierung und Single-Sign-On. Die AD-Verwaltung und die damit verbundenen Sicherheitsmaßnahmen auf andere nicht Windows-basierte Systeme auszuweiten ist so gut wie unmöglich, wenn man sich allein auf AD verlässt. Seit AD im Jahr 2000 erstmals auf den Markt kam, haben viele Firmen dieselbe Plattform über all die Jahre beibehalten und eine überhöhte Zahl von Benutzern angehäuft, die alle auf das Netzwerk zugreifen können. Die Folge: die Konten werden nur sehr eingeschränkt verwaltet und gewartet.
Vier Empfehlungen
Trotz des alltäglichen Missmanagements und den daraus resultierenden Sicherheitslücken, wird uns AD noch lange erhalten bleiben. Für Firmen ist es also ratsam, die Sicherheit in ihren AD-Umgebungen zu verbessern, Risiken zu minimieren und das bestmögliche aus ihren Investitionen herauszuholen. Dazu sollten sie vier grundlegende Empfehlungen beherzigen:
AD-Verwaltung mit den richtigen Tools automatisieren: Eine automatisierte AD-Verwaltung mit den richtigen Tools sorgt für in sich konsistente Workflows und verschafft mehr Kontrolle über die notwendigen Verwaltungsaufgaben innerhalb des gesamten Lebenszyklus. Viele Firmen, die solche Lösungen einsetzen, profitieren unter anderem von Funktionen wie dem automatischen Erstellen von Konten und einer sicheren Zugriffskontrolle. Die Zeit für die Provisionierung in AD und AAD und den mit ihnen verbundenen Systemen konnten diese Unternehmen von Stunden oder Tagen auf nur noch Minuten reduzieren. Und sie konnten menschliche Fehler und Inkonsistenzen beseitigen, für die manuelle Prozesse und native Tools naturgemäß besonders anfällig sind.
Verwalten Sie Ihre AD-Administratoren: Das Konto zur AD-Administration teilen sich gemeinhin verschiedene Administratoren. Es ist ein übermächtiges Konto und es ist anonym. Im Grunde ist allein das schon die Garantie für ein Sicherheitsdesaster. Der beste Ansatz diesen hochprivilegierten Zugriff abzusichern ist ein Least-Privilege-Modell für Administratoren. Anstatt, dass alle Administratoren diese übermächtigen Anmeldeinformationen teilen, erhält jeder von ihnen genau die Zugriffsberechtigungen, die er braucht um seine Aufgaben zu erfüllen. Nicht mehr und nicht weniger. Jetzt ist jede Aktivität, die von einem der Administratoren ausgeht, an seine individuelle Verantwortlichkeit gekoppelt. Und Hacker haben ein lukratives Ziel weniger.
AD-Risiken analysieren: Wie schon erwähnt ist es eines der größten Risiken in Active Directory, wenn ein legitimer Benutzer über mehr Rechte verfügt als er eigentlich benötigt. Es gibt inzwischen Technologien, die in der Lage sind Berechtigungen und die damit verbundenen Aktionsmöglichkeiten von Benutzern oder Administratoren in AD zu evaluieren. Bei übermäßigen Berechtigungen, einem erhöhten Risiko, schlägt das System Alarm, und man kann sofort geeignete Maßnahmen ergreifen.
Machen Sie AD zu einem Teil Ihres IAM-Programms: AD bringt zahlreiche Sicherheitsimplikationen mit sich und hat zugleich eine exponierte Stellung innerhalb der Unternehmens-IT. Niemand kann es sich leisten AD wie einfach noch ein System mehr zu behandeln. Einige der erfolgreichsten IAM-Programme stützen sich soweit wie möglich auf die bestehende AD-Infrastruktur und dehnen sie auf so viele Nicht-Windows-Systeme aus wie sie können. Zudem lassen sich die Vorteile von AAD und Cloud-Funktionalitäten nutzen, wenn das betreffende IAM-Programm mit den Herausforderungen der digitalen Transformation Schritt halten muss.
Die Risiken, die mit einem Missmanagement von Active Directory und Azure AD einhergehen, sind real. Und sie werden nur weiter steigen, wenn diese kritischen Systeme innerhalb der Unternehmensumgebung noch wichtiger werden. Allerdings tragen die beschriebenen Empfehlungen und Technologien ganz erheblich dazu bei, den Erfolg der IT zu gewährleisten und gleichzeitig Sicherheit und Compliance zu stärken. Eine automatisierte Verwaltung der Konten in AD, delegierte Zugriffsberechtigungen auch für Admin-Konten, die Analyse der Berechtigungen hinsichtlich auftretender Anomalien und schließlich ein vorgelagertes IAM-Programm für eine erfolgreiche AD-Nutzung sind vergleichsweise einfach zu realisieren und dennoch enorm wirkungsvoll.
* Susanne Haase ist IAM Solutions Architect bei One Identity.
Be the first to comment