Active Directory Sicherheit: Die wichtigsten Tipps für Unternehmen

Angriffsziel AD: Die grundlegende Rolle, die Active Directory in Windows Umgebungen erfüllt, macht den Dienst zum wohl beliebtesten Ziel für Hacker und Cyberkriminelle. Active Directory gegen Angriffe abzusichern hat also oberste Priorität, nur wie sieht erfolgreiche Active Directory Sicherheit in der Praxis aus? Unser Ratgeber fasst Best Practices sowie häufige Fehler und Schwachstellen für Sie zusammen!

Was versteht man unter Active Directory Sicherheit?

Unter dem Begriff Active Directory Sicherheit lassen sich alle Maßnahmen zusammenfassen, die der Absicherung von Microsofts Verzeichnisdienst Active Directory dienen. Neben offiziellen Sicherheitsupdates, die neu entdeckte Schwachstellen und Zero Day Exploits schließen (Stichwort: Patch Tuesday), betrifft dies in erster Linie die sichere Konfiguration des AD. Denn wie gut das AD gegen Angriffe geschützt ist, hängt in der Praxis vor allem davon ab, wie eine Organisation den Dienst implementiert und verwendet.

Als Teil der Windows-Infrastruktur ist Active Directory in Unternehmen, Behörden und ähnlichen Einrichtungen extrem stark verbreitet. Nahezu alle Organisationen mit mehr als 50 aktiven Benutzern verwenden Active Directory, um Konten und Ressourcen in der eigenen IT zu verwalten. Diese enorme Verbreitung macht Active Directory zu einem sehr beliebten Angriffsziel, insbesondere da Betriebe die Best Practices und empfohlenen Vorgehensweisen von Microsoft nicht immer umsetzen. Eine falsche Konfiguration kann dabei zu erheblichen Sicherheitslücken führen, die Tür und Tor für Cyberangriffe und Ransomware öffnen.

Active Directory ist keine einzelne Anwendung, sondern setzt sich aus verschiedenen Diensten zusammen, allen voran die Active Directory Domain Services (AD DS). Überblick der Active Directory Dienste.

Active Directory Sicherheit – Häufige Fehler & Schwachstellen

IT-Sicherheit ist ein ewiger Wettlauf: Hacker und Sicherheitsexperten entdecken neue Sicherheitslücken und Hersteller beheben diese so rasch wie möglich. Wie in fast allen Software-Produkten kommt es auch in Active Directory also immer wieder zu teils kritischen Schwachstellen. Um zu verhindern, dass Angreifer über diese Exploits Zugang zu Ihrem System erlangen, ist es entscheidend, Sicherheitsupdates so schnell wie möglich und auf allen potenziell gefährdeten Geräten einzuspielen.

In der Praxis sind die meisten Active Directory Angriffe jedoch nicht auf herstellerseitige Sicherheitsprobleme zurückzuführen, sondern auf Schwachstellen in der Nutzung durch Organisationen. Die häufigsten Fehler in der AD-Konfiguration und Verwendung finden Sie hier zusammengefasst.

AD-FehlerTipps zur Behebung
Schwache PasswörterDie Verwendung schwacher, häufiger oder mehrfach verwendeter Passwörter erleichtert es Angreifern, Zugang zu Konten zu erlangen. Abhilfe gegen Credential-Angriffe schaffen Passwortrichtlinien, Limits für fehlgeschlagene Anmeldungen und die Multi-Faktor-Authentifizierung.
Verwendung von Legacy-DienstenLegacy-Dienste und Protokolle wie die Authentifizierung mittels NTLM stellen ein erhebliches Sicherheitsrisiko dar. Diese sind durch moderne Standards wie Kerberos zu ersetzen.
Zu viele privilegierte NutzerErlangen Angreifer die Kontrolle über privilegierte Konten wie Organisations-Admins oder Domänen-Admins, können sie mit deren erweiterten Rechten großen Schaden anrichten. Adminkonten müssen daher streng limitiert und überwacht werden.
Falsch konfigurierte Service-AccountsDienstkonten sind häufig unzureichend abgesichert und mit mehr Berechtigungen ausgestattet als notwendig. Achten Sie auf die Einhaltung von Least Privilege und verwenden im Idealfall Managed Service Accounts (MSA).
Kein Schutz integrierter AdminkontenIn jeder AD-Domäne wird für Installation, Wartung und Wiederherstellung ein integriertes Administratorenkonto angelegt. Um den Missbrauch dieser Konten zu verhindern, muss die Nutzung und Anmeldung durch Gruppenrichtlinienobjekte (GPO) eingeschränkt werden. Nähere Informationen.
Keine Löschung inaktiver KontenDa verwaiste Konten weder gepflegt noch verwendet werden, sind sie durch veraltete Passwörter und Einstellungen oft besonders angreifbar. Zudem gibt es keinen, der bei verdächtiger Aktivität Alarm schlägt. Nicht mehr benötigte Konten sind umgehend zu löschen.
Kein Reporting für BerechtigungenDie Rechte von Nutzern müssen laufend kontrolliert werden, um sicherzustellen, dass jeder Account nur über notwendige Privilegien verfügt. Da Microsoft keine geeigneten Werkzeuge zur Verfügung stellt, empfiehlt sich der Einsatz einer externen Lösung für das Berechtigungsreporting.

Was macht Active Directory Sicherheit so wichtig?

Die Wichtigkeit eines guten AD-Sicherheitskonzepts lässt sich schnell erklären: Microsoft Windows ist das Fundament nahezu aller IT-Umgebungen weltweit und AD ist das Fundament von Windows-Netzwerken. Die Gefahren, die von einer Kompromittierung des AD ausgehen, sind entsprechend groß: Einmal im System, nutzen Angreifer alle erdenklichen Tricks, um die Privilegien des gekaperten Kontos auszuweiten (Privilege Escalation) und sich auf weitere Geräte auszubreiten (Lateral Movement).

Gelingt es Hackern, sich unbemerkt im AD auszubereiten und kritische Rechte wie Admin-Privilegien zu erlangen, ist der zu erwartende Schaden gewaltig. Mit Kontrolle über das Active Directory können Cyberkriminelle nicht nur riesige Mengen an Daten stehlen oder zerstören, sondern darüber hinaus den normalen IT-Betrieb vollständig lahmlegen. Im gesamten Netzwerk kann kein PC verwendet und keine Windows-Anmeldung durchgeführt werden, bis die Infektion behoben ist. Und das kann, je nach Vorbereitung auf den Ernstfall, einige Zeit dauern.

Admin stößt auf Sicherheitsfehler bei Konfiguration des AD
So schützen Sie Ihr AD: Die 7 wichtigsten Tipps für Organisationen! Adobe Stock, (c) SomYuZu

Active Directory Sicherheit – 7 Best Practices zum Schutz Ihres AD

Aufgrund der zentralen Bedeutung des Active Directory für IT-Abteilungen rund um die Welt, sind Maßnahmen zur Absicherung des AD ein viel diskutiertes Thema. Microsoft selbst stellt in seiner offiziellen Dokumentation eine umfangreiche Liste an bewährten Methoden für die Sicherung von Active Directory bereit. Auch darüber hinaus befassen sich zahlreiche Sicherheitsexperten und externe Dienstleister mit dem Schutz von Active Directory.

Organisationen, die ihr Active Directory absichern möchten, sollten dabei prinzipiell in zwei Schritten vorgehen: Erstens gilt es, die im AD inkludierten Funktionen und Sicherheitseinstellungen auszureizen, um mit vorhandenen Mitteln ein möglichst gutes Sicherheitsniveau zu erreichen. Da Microsoft jedoch nicht in allen Bereichen geeignete Werkzeuge bereitstellt, müssen Unternehmen in weiterer Folge überlegen, wo eine Erweiterung des Funktionsumfangs über externe Software-Lösungen sinnvoll ist.

Zur Orientierung finden Sie in unserer Übersicht eine Zusammenfassung der wichtigsten Best Practices, auf die Administratoren beim Thema AD Security achten müssen.

1

AD-Angriffsfläche reduzieren

Unter der Angriffsfläche versteht man in der IT die Summe aller Dienste, Konten und Geräte, die einem Angreifer als Eintrittspunkt in das System dienen können. Vereinfacht gesagt: je weniger potenzielle Einfallstore die eigene IT bietet, desto geringer ist das Risiko für einen erfolgreichen Angriff. Das liegt zum einen daran, dass die Verwendung zusätzlicher Dienste neue Abhängigkeiten und potenzielle Schwachstellen mit sich bringt, und zum anderen an der Tatsache, dass große Mengen an Objekten die Verwaltung und Kontrolle durch Admins erschweren.

Daher hat es sich als Präventivmaßnahme bewährt, die Zahl an Benutzern im Active Directory im Rahmen der geschäftlichen Anforderungen so gering wie möglich zu halten. Auf technischer Ebene stellt das Löschen nicht mehr benötigter Konten keine Herausforderung dar. Viel mehr sorgt der Informationsfluss im Unternehmen dabei für Probleme: Abteilungen informieren Admins nicht rechtzeitig über personelle Änderungen oder Mitarbeiter erhalten kurzfristige Zugänge, an deren Löschung später niemand denkt.

Um sicherzustellen, dass die Erstellung, Anpassung und Löschung von Benutzerkonten sowohl umgehend als auch fehlerfrei erfolgt, empfiehlt sich die Automatisierung der entsprechenden Prozesse. Das automatische User Lifecycle Management sorgt dafür, dass Konten über ihren gesamten Lebenszyklus, also vom Eintritt bis zum Austritt des Mitarbeiters, nur über die vorgesehenen Ressourcen und Zugänge verfügen.

2

Least Privilege Zugriff umsetzen

Erlangen Angreifer Zugang zu einem AD-Konto, nutzen sie die Privilegien des Kontos zum Schaden der Organisation, indem sie etwa freigegebene Daten stehlen, verknüpfte Dienste kompromittieren oder Einstellungen zu ihrem Vorteil anpassen. Jede Berechtigung, die ein Benutzer erhält, kann also in falschen Händen zur Gefahr werden. Das betrifft nicht nur Cyberangriffe, sondern auch Insider Threats wie Datendiebstahl durch Mitarbeiter.

Zur Minimierung des Risikos sollte also jedes Konto nur mit den Rechten ausgestattet werden, die zur Erledigung der vorgesehen Aufgaben zwingend notwendig sind. Das gilt für Dienst- und Service-Konten ebenso wie für Benutzerkonten. Diese Best Practice wird auch als sparsame Berechtigungsvergabe, Prinzip der geringsten Rechte bzw. Least Privilege Prinzip bezeichnet.

Eine gängige Hürde bei der Umsetzung von Least Privilege Zugriff: Viele Organisationen wissen weder, welche Zugänge Mitarbeiter im Alltag benötigen, noch auf welche Ressourcen sie tatsächlich zugreifen können. Es braucht also ein Berechtigungskonzept nach Modellen wie der Role-Based Access Control, das definiert, welche Angestellten mit welchen Rechten ausgestattet werden.

Mit der initialen Zuweisung ist es aber noch nicht getan: Da sich sowohl IT-Systeme als auch die Rolle von Mitarbeitern innerhalb des Unternehmens laufend verändern, setzt die langfristige Einhaltung von Least Privilege Zugriff die regelmäßige Rezertifizierung von Berechtigungen voraus. Der sicherste Weg, diese Kontrolle zu gewährleisten, liegt in automatischen User Access Reviews.

Least Privilege bildet gemeinsam mit der Kontrolle interner wie externer Zugriffe den Grundstein moderner Zero Trust Sicherheitskonzepte.

Auto im Windkanal, Symbol für effizientes und sicheres AD Management
Durch das Streamlinen des AD bieten Sie Hackern weniger Angriffspunkte. Adobe Stock, (c) Piotr Adamczyk
3

Privilegierte Konten schützen

Ihre hohe Berechtigungsstufe macht Adminkonten zu einem attraktiven Ziel für Angreifer. Entsprechend sollten Organisationen auch das Sicherheitsniveau von privilegierten Konten sehr hoch ansetzen. Im Arbeitsalltag der IT-Abteilung ist auf eine strikte Trennung von regulären Konten und Adminkonten zu achten, welche nur verwendet werden dürfen, wenn es eine Aufgabe zwingend erfordert.

Die Administrator-, Domänenadministrator- und Organisationsadministratorgruppen sollten außer des integrierten Adminkontos keine dauerhaften Mitglieder haben, sondern Benutzer nur bei Bedarf hinzugefügt werden. Lokale Adminkonten sollten mittels entsprechender Gruppenrichtlinien und Windows LAPS (Local Admin Password Solution) abgesichert werden. Relevante Guides:

Achtung: Nicht nur Admin-Accounts, sondern auch Servicekonten stellen aufgrund ihrer oft hohen Berechtigungen ein potenzielles Risiko dar. Angriffsmuster wie Kerberoasting zielen darauf ab, den Passwort-Hash von Dienstkonten zu extrahieren und zu knacken. Verwaltete Dienstkonten, die ihre Passwörter automatisch ändern, bieten zusätzlichen Schutz.

4

User sensibilisieren

Der Schutz von IT-Systemen ist keine rein technische Aufgabe, sondern erfordert die Zusammenarbeit aller Beteiligten, vom Admin bis zum Endanwender. Training und Schulungen, um Mitarbeiter über Risiken und richtige Verhaltensweisen aufzuklären, können das Risiko für Sicherheitsvorfälle deutlich senken. Um Benutzern die Einhaltung von Sicherheitsrichtlinien zu erleichtern, bieten sich zusätzlich Schutzmaßnahmen wie Phishing Filter an.

5

Bedrohungen und Angriffspfade verstehen

Zur Abwehr neuester Bedrohungen und Exploits ist es entscheidend, dass Sicherheitsverantwortliche sich laufend über neue Schwachstellen informieren und angemessene Schritte zu deren Behebung treffen. Im einfachsten Fall bedeutet das das Einspielen von Patches, bei (noch) ungelösten Sicherheitsproblemen kann aber auch notwendig sein, bestimmte Dienste und Funktionen vorübergehend zu deaktivieren.

Neben allgemeinen Sicherheitslücken können sich Schwachstellen aus der spezifischen Struktur eines Firmennetzwerkes ergeben. Admins sollten das eigene Netzwerk also aus feindlicher Perspektive analysieren, um potenzielle Angriffspfade zu erkennen und zu beseitigen. Die Methoden von Hackern können so zur Verbesserung der AD-Sicherheit dienen.

Beispielsweise kann das kostenlose Tool BloodHound genutzt werden, um die Zusammenhänge von AD-Konten zu visualisieren und mögliche Angriffswege zu identifizieren. Mit dem Tool mimikatz lassen sich im Rahmen von Penetrationstests Pass-the-Hash, Golden Ticket und weitere komplexe Angriffsmuster durchspielen.

Cyber-Krimineller beim Erstellen von Schadsoftware
Zum besseren Schutz müssen Admins ihr Netzwerk aus Hacker-Perspektive betrachten. Adobe Stock, (c) Gorodenkoff
6

Überwachung von Sicherheitsereignissen

Die kontinuierliche Auswertung von Systemereignissen erlaubt es, Angriffe anhand früher Warnsignale zu erkennen und zu stoppen. Dazu muss die Audit Policy für die Aufzeichnung relevanter Ereignisse konfiguriert werden. Events, die zur Kontrolle möglicher verdächtiger Aktivitäten überwacht werden sollten, sind unter anderem:

  • Erfolgreiche und fehlgeschlagene Anmeldungen

  • Erstellung, Bearbeitung und Löschung eines Benutzers bzw. einer Gruppe

  • Versuche, die SID-History von Objekten zu bearbeiten

  • Versuche, den Wiederherstellungsmodus von AD zu aktivieren

  • Änderung von Domänen- oder Kerberos-Richtlinien

  • Änderung von Überwachungsrichtlinien

  • Löschung von Überwachungsprotokollen

Die Daten der Systemüberwachung sind jedoch nur von Vorteil, wenn Admins diese rechtzeitig auswerten und auf die gewonnen Erkenntnisse reagieren. Aufgrund der enormen Menge an Aufzeichnungen, die durch den normalen IT-Betrieb erzeugt werden, bieten sich für die Analyse der Audit Logs externe Tools aus den Bereichen Security Information and Event Management (SIEM) bzw. Extended Detection and Response (XDR) an.

7

Notfallpläne, Backups und Wiederherstellung

So wichtig präventive Abwehrmaßnahmen sein mögen, lässt sich selbst mit der gewissenhaftesten Vorbereitung kein hundertprozentiger Schutz erreichen. Daher müssen Organisationen im Rahmen der Active Directory Sicherheit auch für den schlimmsten Fall planen: einen erfolgreichen Angriff auf das AD.

Durch Übungen und Angriffstests können Teams die Reaktion auf einen laufenden Angriff trainieren und so im Ernstfall schneller handeln. Im Idealfall kann das Ausmaß des Schadens so begrenzt werden. Die interne Planung darf aber nicht auf dem Prinzip Hoffnung aufbauen: Ein angemessener Notfallplan muss auch Worst-Case-Szenarien in Betracht ziehen. Der Plan für den Ernstfall sollte zwei wesentliche Bereiche abdecken:

  • Betriebsfortführung (Business Continuity): Wie lässt sich bei einem kompletten Ausfall der IT zumindest ein eingeschränkter Betrieb gewährleisten? Über welche Kanäle erfolgt die Krisenkommunikation, wenn E-Mail und interner Chat nicht zur Verfügung stehen? Hier braucht es nicht immer High-Tech-Lösungen: Alleine sicherzustellen, dass alle Mitglieder des Krisenteams die Telefonnummern ihrer Ansprechpartner kennen, spart im Ernstfall viel Zeit.

  • Betriebswiederherstellung (Recovery): Welche Schritte sind notwendig, um nach der Säuberung der IT-Umgebung den vollen Funktionsumfang wiederherzustellen? Viele Organisationen haben zwar ein Backup-Konzept für kritische Daten, nicht aber für die Domänencontroller ihres AD. Dabei ist gerade eine Kopie der Domain Controller für die Wiederherstellung des Active Directory entscheidend. Also unbedingt Backups anlegen und dabei Best Practices der sicheren Speicherung einhalten: Mehrere Kopien auf unterschiedlichen Speichermedien, von denen mindestens eine extern gelagert wird (z.B. sicherer Cloud-Dienst).

Active Directory sicher verwalten mit tenfold Access Management

Die Absicherung des Active Directory erfordert stete Wachsamkeit und laufende Anpassungen, die nicht nur schnell, sondern dabei auch fehlerfrei umgesetzt werden müssen. Um das Risiko für Angriffe zu senken gilt es, Konten und Rechte auf ein Minimum zu reduzieren, Fehlkonfigurationen zu identifizieren und beheben, sowie Änderungen zu überwachen und dokumentieren. Der schnellste und sicherste Weg, die korrekte Verwaltung von AD-Gruppen und Rechten zu gewährleisten, liegt im Einsatz einer automatischen Software-Lösung aus dem Bereich Identity und Access Management.

Durch die automatisierte Verwaltung von Konten und Rechten spart das User Lifecycle Management von tenfold nicht nur wertvolle Zeit in der IT-Administration, sondern erleichtert die Umsetzung des sicheren Least Privilege Zugriffs. Das detaillierte Berechtigungs-Reporting sowie automatische Access Reviews unterstützen Sie bei der laufenden Kontrolle der Zugriffsrechte. Das tenfold Dashboard weist auf gängige Probleme hin und ermöglicht so die schnelle Korrektur häufiger Fehler. Das Beste daran? Dank der vollständigen Microsoft Integration und Microsoft 365 Integration profitieren Sie in allen Systemen von der automatischen Benutzer- und Berechtigungsverwaltung mit tenfold.

Sie möchten sich selbst von den Vorteilen von tenfold überzeugen? In unserem Demo-Video stellen wir Ihnen die wichtigsten Funktionen vor. In unserem Editionsvergleich sehen Sie alle tenfold Schnittstellen und Plugins im Überblick. Ein kostenloser Test gibt Ihnen die Möglichkeit, sich erster Hand mit der komfortablen Bedienung und den zahlreichen Möglichkeiten von tenfold vertraut zu machen.

tenfold Produkt-Demo

Erleben Sie tenfold in Aktion: Unser Produkt-Demo zeigt alle Funktionen!

Verfasst von: Joe Köller

Als tenfolds Content Manager verantwortet Joe Köller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitäten tiefgehend beleuchtet. Komplexe Materie verständlich zu erklären ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergründe der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre über Games und digitale Medien berichtet.