Bewährte Methoden für die Sicherung von Active Directory
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Angriffe auf Computerinfrastrukturen haben im Laufe des letzten Jahrzehnts in allen Teilen der Welt zugenommen. Wir leben in einem Zeitalter von Cyberkrieg, Cyberkriminalität und Hacktivismus. Daher mussten Organisationen aller Größen auf der ganzen Welt mit Informationslecks, Diebstahl von geistigem Eigentum (IP), Denial-of-Service-Angriffen (DDoS) oder sogar zerstörten Infrastrukturen fertig werden.
Da sich die Bedrohungslandschaft jedoch im Laufe der Jahre verändert hat, wurde die Sicherheitslandschaft auch an die Bekämpfung dieser Bedrohungen angepasst. Da keine Organisation mit einer IT-Infrastruktur immer perfekt gegen Angriffe geschützt ist, besteht das ultimative Ziel der Sicherheitsabteilung nicht darin, Angriffe vollständig zu verhindern, sondern die IT-Infrastruktur davor zu schützen. Mit den richtigen Richtlinien, Prozessen und Kontrollmechanismen können Sie wichtige Teile Ihrer IT-Infrastruktur vor Kompromittierung schützen.
In diesem Artikel werden die gängigsten Arten von Sicherheitsrisiken beschrieben, die in Active Directory-Bereitstellungen (AD) ermittelt wurden. Als Nächstes erhalten Sie Empfehlungen, wie Sie diese Schwachstellen vor Kompromittierung schützen können. Wir haben diese Empfehlungen basierend auf der Expertise unserer Organisationen MIST (Microsoft IT) und ISRM (Microsoft Information Security and Risk Management) formuliert. Außerdem werden die Schritte erläutert, die Sie ausführen können, um die Angriffsfläche für Ihre kritische Infrastruktur in Ihrer AD-Bereitstellung zu reduzieren. Sie erhalten auch Vorschläge zum Wiederherstellen wichtiger Daten und Infrastrukturfunktionen im Falle einer Sicherheitskompromittierung.
Gängige Sicherheitsrisiken
Um zu lernen, wie Sie Ihre Infrastruktur am besten schützen können, müssen Sie zunächst verstehen, worauf Angriffe am ehesten abzielen und wie sie funktionieren. Dieser Artikel enthält nur allgemeine Empfehlungen. Wenn Sie jedoch ausführlichere Informationen erhalten möchten, können Sie die Links zu ausführlicheren Artikeln verwenden.
Im Folgenden werden die gängigsten Sicherheitsrisiken erläutert.
Häufig genutzte Einstiegspunkte
Anfängliche Angriffsziele bzw. Einstiegspunkte sind Bereiche, in denen sich Angreifer am einfachsten Zugang zu Ihrer IT-Infrastruktur verschaffen können. Einstiegspunkte sind in der Regel Lücken in Sicherheitsmechanismen oder Updates, die Angreifer nutzen können, um Zugriff auf ein System in Ihrer Infrastruktur zu erhalten. Sie beginnen in der Regel gleichzeitig mit einem oder zwei Systemen und eskalieren dann ihren Angriff, indem sie ihren Einfluss unerkannt auf weitere Systeme ausweiten.
Dies sind die häufigsten Sicherheitsrisiken:
Lücken in Antiviren- und Antischadsoftwarebereitstellungen
Unvollständiges Patching
Veraltete Anwendungen und Betriebssysteme
Fehlkonfiguration
Mangel an sicheren Methoden der Anwendungsentwicklung
Diebstahl von Anmeldeinformationen
Beim Diebstahl von Anmeldeinformationen erhalten Angreifer privilegierten Zugriff auf einen Computer in einem Netzwerk, indem Tools verwendet werden, um Anmeldeinformationen aus Sitzungen von Konten zu extrahieren, die derzeit angemeldet sind. Die Angreifer verwenden häufig bestimmte Konten, die bereits erhöhte Rechte besitzen. Sie stehlen die Anmeldeinformationen dieses Kontos, um seine Identität nachzuahmen und somit Zugriff auf das System zu erhalten.
Beim Diebstahl von Anmeldeinformationen erfolgt der Angriff in der Regel auf die folgenden Kontotypen:
Dauerhaft privilegierte Konten
VIP-Konten
Active Directory-Konten mit privilegierten Berechtigungen
Domänencontroller
Andere Infrastrukturdienste mit Auswirkungen auf die Identitäts-, Zugriffs- und Konfigurationsverwaltung (z. B. PKI-Server (Public Key-Infrastruktur) oder Systemverwaltungsserver)
Durch die folgenden Verhaltensweisen wird das Risiko erhöht, dass die Anmeldeinformationen von Benutzer*innen mit hochgradig privilegierten Konten gestohlen werden:
Anmelden bei ihren privilegierten Konten auf unsicheren Computern
Surfen im Internet während der Anmeldung bei einem privilegierten Konto
Außerdem sollten Sie schlechte und riskante Konfigurationen vermeiden, um die Sicherheit der Anmeldeinformationen Ihres Systems zu schützen. Beispiele:
Konfigurieren von lokalen privilegierten Konten mit denselben Anmeldeinformationen für mehrere Systeme
Zuweisen von zu vielen Benutzer*innen zu privilegierten Domänengruppen, was zu einer übermäßigen Nutzung führt
Unzureichende Verwaltung der Domänencontrollersicherheit
Weitere Informationen zu anfälligen Konten finden Sie unter Attraktive Konten für den Diebstahl von Anmeldeinformationen.
Reduzieren der Active Directory-Angriffsfläche
Sie können Angriffe verhindern, indem Sie die Angriffsfläche für Ihre Active Directory-Bereitstellung verringern. Mit anderen Worten: Sie machen Ihre Bereitstellung sicherer, indem Sie die im vorherigen Abschnitt genannten Sicherheitslücken schließen.
Vermeiden der Zuweisung von übermäßigen Berechtigungen
Angriffe für den Diebstahl von Anmeldeinformationen hängen davon ab, ob Administrator*innen bestimmten Konten übermäßige Berechtigungen zuweisen. Sie können diese Angriffe durch Folgendes verhindern:
Denken Sie daran, dass es drei integrierte Gruppen gibt, die standardmäßig über die höchsten Berechtigungen in Active Directory verfügen: Unternehmensadministrator*innen, Domänenadministrator*innen und Administrator*innen. Stellen Sie sicher, dass Sie Schritte zum Schutz dieser drei Gruppen ausführen (zusammen mit anderen Gruppen, denen Ihre Organisation erhöhte Berechtigungen erteilt hat).
Implementieren Sie ein Verwaltungsmodell, bei dem nur die geringsten erforderlichen Berechtigungen erteilt werden. Verwenden Sie keine besonders privilegierten Konten für alltägliche Verwaltungsaufgaben, wenn Sie dies vermeiden können. Stellen Sie außerdem sicher, dass Ihre Administratorkonten nur über die grundlegenden Berechtigungen verfügen, die erforderlich sind, um ihre Aufgaben auszuführen, und nicht über zusätzliche Berechtigungen, die nicht benötigt werden. Vermeiden Sie übermäßige Berechtigungen für Benutzerkonten, die diese nicht benötigen. Stellen Sie sicher, dass Sie einem Konto nicht versehentlich dieselben Berechtigungen auf allen Systemen zuweisen, es sei denn, diese werden unbedingt benötigt.
Überprüfen Sie die folgenden Bereiche Ihrer Infrastruktur, um sicherzustellen, dass Sie keine übermäßigen Berechtigungen für Benutzerkonten gewähren:
Active Directory
Mitgliedsserver
Arbeitsstationen
Anwendungen
Datenrepositorys
Weitere Informationen finden Sie unter Implementieren von Verwaltungsmodellen der geringste Rechte.
Verwenden sicherer Verwaltungshosts
Sichere Verwaltungshosts sind Computer, die für die Verwaltung von Active Directory-Instanzen und anderen verbundenen Systemen konfiguriert sind. Diese Hosts führen keine Software wie E-Mail-Anwendungen, Webbrowser oder Produktivitätssoftware wie Microsoft Office aus, die sich nicht auf die Verwaltung beziehen.
Beim Konfigurieren eines sicheren Verwaltungshosts müssen Sie die folgenden allgemeinen Prinzipien befolgen:
Verwalten Sie niemals ein vertrauenswürdiges System von einem weniger vertrauenswürdigen Host.
Legen Sie fest, dass bei der Verwendung privilegierter Konten oder bei Verwaltungsaufgaben eine Multi-Faktor-Authentifizierung erforderlich ist.
Physische Sicherheit für Ihre administrativen Hosts ist ebenso wichtig wie System- und Netzwerksicherheit.
Weitere Informationen finden Sie unter Implementieren sicherer Verwaltungshosts.
Schützen der Domänencontroller
Wenn ein Angreifer privilegierten Zugriff auf einen Domänencontroller erhält, kann er die AD-Datenbank ändern und beschädigen. Ein Angriff auf den Domänencontroller bedroht potenziell alle AD-verwalteten Systeme und Konten innerhalb Ihrer Organisation. Daher ist es wichtig, dass Sie die folgenden Maßnahmen ergreifen, um Ihre Domänencontroller zu schützen:
Sie müssen Ihre Domänencontroller in Ihren Rechenzentren, Zweigstellen und an Remotestandorten physisch schützen.
Machen Sie sich mit dem Domänencontroller-Betriebssystem vertraut.
Konfigurieren Sie Ihre Domänencontroller mit integrierten und frei verfügbaren Konfigurationstools, um Sicherheitskonfigurationsbaselines zu erstellen, die Sie mit Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) erzwingen können.
Weitere Informationen finden Sie unter Schützen von Domänencontrollern vor Angriffen.
Überwachen von Active Directory auf Anzeichen von Angriffen oder Kompromittierungen
Eine andere Möglichkeit, Ihre AD-Bereitstellung zu schützen, besteht darin, sie auf Anzeichen von böswilligen Angriffen oder Sicherheitskompromittierungen zu überwachen. Sie können Legacyüberwachungskategorien und Überwachungsrichtlinien-Unterkategorien oder erweiterte Überwachungsrichtlinie verwenden. Weitere Informationen finden Sie unter Empfehlungen zu Überwachungsrichtlinien.
Vorbereiten auf Sicherheitskompromittierungen
Sie können Ihre AD-Instanz zwar vor Außenangriffen schützen, aber keine Verteidigung ist wirklich perfekt. Es ist wichtig, dass Sie nicht nur präventive Maßnahmen ergreifen, sondern sich auch auf Worst-Case-Szenarios vorbereiten. Bei der Vorbereitung auf Sicherheitsverletzungen sollten Sie die Richtlinien im Artikel zum Vorbereiten auf Bedrohungen und insbesondere die Schritte im Abschnitt Überdenken des Ansatzes befolgen. Zudem sollten Sie den Artikel Beibehalten einer sicheren Umgebung lesen.
Dies ist eine kurze Zusammenfassung der im Artikel Beibehalten einer sicheren Umgebung ausführlich beschriebenen Punkte, die Sie bei der Vorbereitung auf Sicherheitskompromittierungen berücksichtigen sollten:
Beibehalten einer sicheren Umgebung
Erstellen geschäftsorientierter Sicherheitspraktiken für AD
Zuweisen von Zugriffsberechtigungen für AD-Daten im Geschäftskontext
Implementieren einer geschäftsorientierten Lebenszyklusverwaltung
Klassifizieren aller AD-Daten als Systeme, Anwendungen oder Benutzer*innen
Weitere Informationen zu diesen Methoden finden Sie unter Beibehalten einer sicheren Umgebung.
Tabelle mit einer Zusammenfassung der Sicherheitsmaßnahmen
In der folgenden Tabelle werden die in diesem Artikel aufgeführten Empfehlungen zusammengefasst und nach Priorität aufgeführt. Die Empfehlungen weiter unten in der Tabelle sind diejenigen, die Sie und Ihre Organisation priorisieren sollten, wenn Sie Ihre Active Directory-Instanz einrichten. Sie können die Prioritätsreihenfolge jedoch auch anpassen und die einzelnen Maßnahmen basierend auf den individuellen Anforderungen Ihrer Organisation implementieren.
Jede Maßnahme wird auch basierend darauf kategorisiert, ob es sich um eine taktische, strategische, präventive oder ermittelnde Maßnahme handelt. Taktische Maßnahmen konzentrieren sich auf bestimmte AD-Komponenten und die zugehörige Infrastruktur. Strategische Maßnahmen sind umfassender und erfordern daher mehr Planung für die Implementierung. Präventive Maßnahmen verhindern Angriffe von Personen mit böswilligen Absichten. Ermittelnde Maßnahmen helfen Ihnen dabei, Sicherheitsverletzungen sofort bei deren Auftreten zu erkennen, bevor sie auf andere Systeme ausgeweitet werden können.
| Sicherheitsmaßnahme | Taktisch oder strategisch | Präventiv oder ermittlungsbasiert |
|---|---|---|
| Patchen Sie Anwendungen. | Taktisch | Vorbeugend |
| Patchen Sie Betriebssysteme. | Taktisch | Vorbeugend |
| Stellen Sie Antiviren- und Antischadsoftware auf allen Systemen bereit, führen Sie Updates möglichst sofort durch, und überwachen Sie die Software auf Versuche, sie zu entfernen oder zu deaktivieren. | Taktisch | Beides |
| Überwachen Sie vertrauliche Active Directory-Objekte auf Änderungsversuche und Ihre Windows-Systeme auf Ereignisse, die auf Kompromittierungsversuche hinweisen könnten. | Taktisch | Ermittelnd |
| Schützen und überwachen Sie Konten von Benutzern, die Zugriff auf vertrauliche Daten haben. | Taktisch | Beide |
| Verhindern Sie die Verwendung von Konten mit hohen Berechtigungen auf nicht autorisierten Systemen. | Taktisch | Vorbeugend |
| Eliminieren Sie dauerhafte Mitgliedschaften in Gruppen mit hohen Berechtigungen. | Taktisch | Vorbeugend |
| Implementieren Sie Kontrollmechanismen, um bei Bedarf temporäre Mitgliedschaften in privilegierten Gruppen zu gewähren. | Taktisch | Vorbeugend |
| Implementieren Sie sichere Verwaltungshosts. | Taktisch | Vorbeugend |
| Verwenden Sie Zulassungslisten für Anwendungen auf Domänencontrollern, Verwaltungshosts und anderen vertraulichen Systemen. | Taktisch | Vorbeugend |
| Identifizieren Sie kritische Ressourcen, und priorisieren Sie deren Sicherheit und Überwachung. | Taktisch | Beide |
| Implementieren Sie die rollenbasierte Zugriffssteuerung mit geringsten Rechten für die Verwaltung des Verzeichnisses, der unterstützenden Infrastruktur und der in die Domäne eingebundenen Systeme. | Strategisch | Vorbeugend |
| Isolieren Sie Legacysysteme und -anwendungen. | Taktisch | Vorbeugend |
| Setzen Sie Legacysysteme und -anwendungen außer Betrieb. | Strategisch | Vorbeugend |
| Implementieren Sie sichere Programme für den Entwicklungslebenszyklus benutzerdefinierter Anwendungen. | Strategisch | Vorbeugend |
| Implementieren Sie eine Konfigurationsverwaltung, überprüfen Sie regelmäßig die Compliance und bewerten Sie die Einstellungen bei jeder neuen Hardware- oder Softwareversion. | Strategisch | Vorbeugend |
| Migrieren Sie kritische Ressourcen zu unveränderten Gesamtstrukturen mit strikten Sicherheits- und Überwachungsanforderungen. | Strategisch | Beide |
| Vereinfachen Sie die Sicherheit für Endbenutzer. | Strategisch | Vorbeugend |
| Verwenden Sie hostbasierte Firewalls zum Steuern und Sichern der Kommunikation. | Taktisch | Vorbeugend |
| Patchen Sie Geräte. | Taktisch | Vorbeugend |
| Implementieren Sie eine geschäftsorientierte Lebenszyklusverwaltung für IT-Ressourcen. | Strategisch | – |
| Erstellen oder aktualisieren Sie Pläne zur Wiederherstellung nach Incidents. | Strategisch | Nicht zutreffend |