92 ist die hälfte von 99

Reduzieren der Angriffsfläche für Active Directory

So schützt ihr euer Active Directory – AKA „Die Angriffsfläche verkleinern“

Tipps für Windows Server 2025, 2022, 2019 und „Opa“ 2016 auch!

Das Active Directory (AD) ist das Herzstück vieler Unternehmensnetzwerke. Doch gerade weil es so zentral ist, ist es auch ein beliebtes Ziel für Angreifer. Um die Sicherheit zu erhöhen, müsst ihr die Angriffsfläche so klein wie möglich halten. Das gelingt, indem ihr konsequent technische Kontrollmechanismen umsetzt. Hier sind die wichtigsten Ansätze, um euer AD zu stärken.

Die drei Säulen zur Reduzierung der Angriffsfläche

Die Reduzierung der Angriffsfläche konzentriert sich auf drei Kernbereiche:

  1. Verwaltungsmodelle mit geringsten Rechten (Least-Privilege-Prinzip): Dieses Modell zielt darauf ab, das Risiko zu minimieren, das durch die übermäßige Nutzung von Konten mit weitreichenden Rechten entsteht.
  2. Sichere administrative Hosts: Die Einrichtung dedizierter, abgeschotteter Systeme für administrative Aufgaben verhindert, dass privilegierte Anmeldedaten auf unsicheren Standard-Workstations landen.
  3. Härtung der Domänen-Controller: Spezifische Richtlinien und Einstellungen schützen die DCs als Herzstück des AD vor Kompromittierung.

Weiter unten schauen wir uns dann noch Best Practice an, denn (Spoileralarm) es gibt noch mehr zu tun!

Konten und Gruppen in Active Directory

Das Verständnis, welche Konten und Gruppen die höchsten Rechte besitzen, ist essenziell für deren Schutz. Standardmäßig gibt es vier sehr mächtige Gruppen, die ihr besonders im Auge behalten solltet:

  • Unternehmens-Admins (Enterprise Admins, EA): Diese Gruppe existiert nur in der Stammdomäne und hat die höchsten Rechte in der gesamten Gesamtstruktur (Forest). Ihre Mitgliedschaft sollte nur temporär für spezifische gesamtstrukturweite Änderungen gewährt werden.
  • Domänen-Admins (Domain Admins, DA): Jede Domäne hat ihre eigene DA-Gruppe. Mitglieder dieser Gruppe sind „allmächtig“ innerhalb ihrer jeweiligen Domäne und haben lokale Administratorrechte auf allen Domänen-Computern. Die Mitgliedschaft sollte nur in Notfallszenarien verwendet werden.
  • Administratoren (Administrators, BA): Diese lokale Domänengruppe, in der DA und EA geschachtelt sind, besitzt viele direkte Rechte im Verzeichnis und auf Domänen-Controllern. (Das B in BA steht für Built-In) Sie hat jedoch keine Rechte auf Mitgliedsservern oder Workstations.
  • Schema-Admins (Schema Admins, SA): Diese Gruppe kann das Schema des Active Directory ändern. Die Mitgliedschaft wird nur selten und nur für kurze Zeit benötigt, was die Verwaltung erleichtert.

Geschützte Konten und der AdminSDHolder-Prozess

Active Directory hat einen eingebauten Schutzmechanismus für privilegierte Konten und Gruppen, der die Angriffsfläche weiter verringert.

  • Geschützte Konten: Wenn ein Konto Mitglied einer geschützten Gruppe ist, wird es als „geschütztes Konto“ markiert. Die Vererbung von Berechtigungen wird für diese Konten deaktiviert, sodass sie keine Rechte von übergeordneten Organisationseinheiten (OUs) erben können. Dies verhindert eine unabsichtliche Rechteausweitung.
  • AdminSDHolder und SDProp: Im System-Container jeder Domäne befindet sich das Objekt AdminSDHolder. Alle 60 Minuten gleicht der Prozess Security Descriptor Propagator (SDProp) die Berechtigungen aller geschützten Konten und Gruppen mit denen des AdminSDHolder-Objekts ab und setzt sie, falls nötig, zurück. So wird sichergestellt, dass die Sicherheitseinstellungen für privilegierte Konten konsistent bleiben. Ein Konto, das aus einer geschützten Gruppe entfernt wird, erbt die Berechtigungen seiner OU nicht automatisch, was eine manuelle Anpassung erforderlich macht.

Best Practices zur Umsetzung

Um diese Schutzmechanismen effektiv zu nutzen, solltet ihr euch auf folgende Punkte konzentrieren:

  • Gezielte Zuweisung von Rechten: Implementiert eine granulare Delegation, sodass die Nutzung der mächtigsten Gruppen auf das absolute Minimum beschränkt wird.
  • Patch-Management: Sorgt dafür, dass eure Domänen-Controller und andere kritische Systeme immer mit den neuesten Sicherheits-Patches versorgt sind. Eine gute Patch-Management-Lösung ist hierbei unerlässlich.
  • Überwachung: Nutzt Überwachungs-Tools, um Änderungen an kritischen Gruppen (DA, EA) und an LAPS-Passwörtern (Local Administrator Password Solution) zu verfolgen. So erkennt ihr unbefugte Aktivitäten sofort.
  • Schulung: Sensibilisiert eure Anwender für die Risiken von Social Engineering und Phishing. Ein geschulter Mitarbeiter ist eine eurer wichtigsten Verteidigungslinien.

Indem ihr die Angriffsfläche durch diese technischen und organisatorischen Maßnahmen verkleinert, macht ihr es Angreifern deutlich schwerer, in euer Active Directory einzudringen und Schaden anzurichten.

Privilegierte Konten und Gruppen in Active Directory

Ein grundlegendes Sicherheitsprinzip ist es, die Rechte zu minimieren. Active Directory ist dafür ausgelegt, eine sehr feingranulare Delegierung zu ermöglichen. Dennoch gibt es eingebaute Gruppen mit sehr hohen Privilegien. Wenn ihr diese Gruppen versteht, könnt ihr sie auch richtig absichern.

Die drei mächtigsten Gruppen

Es gibt drei Hauptgruppen, die in Active Directory die höchsten Rechte besitzen:

  • Organisations-Admins (Enterprise Admins): Diese Gruppe gibt es nur in der Stammdomäne der Gesamtstruktur. Mitglieder können gesamtstrukturweite Änderungen vornehmen, die alle Domänen beeinflussen. Ihre Rechte sind so umfassend, dass eine Mitgliedschaft nur in seltenen Ausnahmefällen (zum Beispiel beim Hinzufügen einer neuen Domäne) erforderlich sein sollte.
  • Domänen-Admins (Domain Admins): Jede Domäne hat ihre eigene Gruppe von Domänen-Admins. Sie sind die „allmächtigen Herrscher“ innerhalb ihrer Domäne und sind standardmäßig lokale Administratoren auf jedem Computer in der Domäne. Ihr solltet sie nur in Notfallszenarien einsetzen.
  • Administratoren (Administrators): Die dritte Gruppe ist die lokale Administratorgruppe der Domäne. Sie gewährt viele direkte Rechte auf Verzeichnis- und Domänencontrollern, aber keine Rechte auf Mitgliedsservern oder Workstations. Domänen- und Organisations-Admins sind standardmäßig Mitglieder dieser Gruppe.

Wichtiger Hinweis: Obwohl diese Gruppen unterschiedliche Standardberechtigungen haben, kann ein Mitglied einer der drei Gruppen die Berechtigungen im Verzeichnis so ändern, dass es Mitglied in den anderen Gruppen wird. Aus Sicherheitssicht solltet ihr daher alle drei als gleichwertig riskant betrachten.

Die Schema-Admins: Eine Spezialgruppe

Die Schema-Admins (Schema Admins) sind eine vierte privilegierte Gruppe. Sie sind nur in der Stammdomäne der Gesamtstruktur vorhanden und haben die exklusive Berechtigung, das Active Directory Schema zu ändern, die zugrunde liegende Struktur des Verzeichnisses. Diese Mitgliedschaft wird extrem selten und nur für sehr kurze Zeit benötigt.

AdminSDHolder und SDProp: Der Schutzmechanismus

Um zu verhindern, dass die Berechtigungen privilegierter Konten versehentlich oder böswillig geändert werden, gibt es in Active Directory einen speziellen Schutzmechanismus: AdminSDHolder und SDProp.

Wie funktioniert das?

  1. Das AdminSDHolder-Objekt: In jeder Active Directory-Domäne gibt es ein spezielles Objekt namens AdminSDHolder. Es dient als Vorlage für die Berechtigungen aller geschützten Konten und Gruppen.
  2. Der SDProp-Prozess: Alle 60 Minuten (standardmäßig) läuft auf dem Domänencontroller mit der Rolle des PDC-Emulators ein Prozess namens Security Descriptor Propagator (SDProp) ab.
  3. Abgleich und Korrektur: SDProp vergleicht die Berechtigungen der geschützten Konten (z. B. Domänen-Admins oder Enterprise Admins) mit den Berechtigungen des AdminSDHolder-Objekts. Wenn die Berechtigungen nicht übereinstimmen, setzt SDProp die Berechtigungen der geschützten Konten zurück, sodass sie wieder exakt denen von AdminSDHolder entsprechen.

Das bedeutet: Egal, wohin ihr ein geschütztes Konto im Verzeichnis verschiebt, es wird niemals Berechtigungen von seinem neuen übergeordneten Objekt erben. Die Vererbung ist für diese Konten deaktiviert, was ihre Sicherheit erheblich erhöht.

Das adminCount-Attribut

Wenn ein Benutzer Mitglied einer geschützten Gruppe wird, wird der Wert seines adminCount-Attributs auf 1 gesetzt. Entfernt ihr das Konto später wieder aus der Gruppe, bleibt das Attribut auf 1 stehen. Das hat zur Folge, dass das Objekt weiterhin keine Berechtigungen von seinem übergeordneten Objekt erbt, selbst wenn es nicht mehr geschützt ist. Ein Skript kann dabei helfen, diese ehemaligen geschützten Objekte zu finden und das Attribut zurückzusetzen.

Strategien zur Reduzierung der Angriffsfläche

Um die Angriffsfläche von Active Directory effektiv zu verkleinern, solltet ihr auf jeden Fall folgende Maßnahmen umsetzen:

Verwaltungsmodelle mit geringsten Rechten

Verwendet keine hochprivilegierten Konten für die tägliche Verwaltung. Implementiert ein Delegierungsmodell, das IT-Mitarbeitern nur die Berechtigungen gibt, die sie für ihre spezifischen Aufgaben benötigen, nicht mehr.

Specopssoft.com beschreibt dazu sechs gängige Möglichkeiten:
Rollenbasierte Access Control, Group Policy-Objekte, Passwort-Richtlinien, Benutzerberechtigungen, Hinzufügen von Benutzern zu geeigneten Gruppen und Auditing und Reporting.

Sichere administrative Hosts

Verwaltet euer Active Directory nur von dedizierten, sicheren Administrationssystemen aus. Diese „Secure Admin Hosts“ sind speziell gehärtete Computer, die nicht für E-Mails, Surfen oder andere alltägliche Aufgaben verwendet werden. So minimiert ihr das Risiko von Keyloggern oder Malware, die Anmeldeinformationen abfangen.

Bei Frankysweb.de findet ihr eine schöne detaillierte Anleitung dazu. Definitiv lesenswert! Auch der Folgeartikel „Admin Tiers ist einen Klick wert. Ansonsten ist auch das Microsoft Security Compliance Toolkit hilfreich.

Härtung von Domänencontrollern

Domänencontroller sind das Kronjuwel eurer IT-Infrastruktur. Sie müssen extrem gut geschützt sein. Setzt spezifische Richtlinien und Einstellungen um, um sie gegen Angriffe zu härten. Dazu gehören die Einschränkung der physischen und logischen Zugriffe sowie die konsequente Überwachung.

Durch die Kombination dieser technischen Kontrollmechanismen könnt ihr das Risiko für euer Active Directory erheblich verringern und eine robustere, sicherere Infrastruktur schaffen.

Am einfachsten ist es für die Härtung das Problem „von der anderen Seite aus zu betrachten“. Im Artikel von security-insider.de wird auf die Tools eingegangen die für Angriffe genutzt werden. Auch diesen Artikel zum härten und Best Practice solltet ihr euch ansehen. Auch hier ist das Microsoft Security Compliance Toolkit klasse.

Microsofts Ressourcen nutzen:

In diesem Abschnitt geht es um die Implementierung von technischen Kontrollmechanismen, mit denen sich die Angriffsfläche einer Active Directory-Installation verringern lässt.
Allen voran sollte die Microsoft Hilfe eine Pflichtlektüre sein!
Alle Best Practice Beispiele dort sind nicht nur ausführlich erklärt sondern auch entsprechend mit Schritt-für-Schritt Anleitungen hinterlegt.

Dieser Abschnitt enthält deshalb die folgenden Informationen:

  • Implementierung von Verwaltungsmodellen mit geringsten Rechten: Konzentriert sich auf die Identifizierung des Risikos, das die Verwendung von Konten mit umfassenden Rechten für die tägliche Verwaltung darstellt, und gibt Empfehlungen für die Implementierung, um das Risiko zu verringern, das Konten mit umfassenden Rechten darstellen.
  • Implementierung sicherer administrativer Hosts:
    Beschreibt die Grundsätze für die Bereitstellung dedizierter, sicherer administrativer Systeme sowie einige Beispiele für die Bereitstellung eines sicheren administrativen Hosts.
  • Sicherung von Domänencontrollern gegen Angriffe:
    Erörtert Richtlinien und Einstellungen, die zwar den Empfehlungen für die Implementierung sicherer administrativer Hosts ähneln, aber auch einige für Domänencontroller spezifische Empfehlungen enthalten, die dazu beitragen, dass die Domänencontroller und die zu ihrer Verwaltung verwendeten Systeme gut geschützt sind.
  • Überwachung des Active Directory:
    Ein solides System zur Ereignisprotokollüberwachung ist ein wesentlicher Bestandteil eures sicheren Active Directory-Designs! Kompromittierungen können so frühzeitig entdeckt werden, wenn eine angemessene Überwachung der Ereignisprotokolle und Alarmierung durchgeführt wird. 
  • Wartung und Pflege sowie KVP eures Active Directory:
    Euch kommt es vermutlich schon zu den Ohren wieder raus aber auch hier ist die Sicherheit kein Sprint sondern immer Marathon. Wer eine verwaltbare, sichere Umgebung für kritischen Unternehmensressourcen geschaffen hat, sollten sich danach darauf konzentrieren, dass diese auch zuverlässig gewartet und kontinuierlich verbessert wird.

Privilegierte Konten und Gruppen

Dieser Abschnitt enthält Hintergrundinformationen zu Konten und Gruppen mit umfassenden Rechten in Active Directory, die die Gemeinsamkeiten von und Unterschiede zwischen Konten und Gruppen mit umfassenden Rechten in Active Directory erläutern sollen.

Unabhängig davon, ob ihr die Empfehlungen in Implementierung von Verwaltungsmodellen mit geringsten Rechten wortwörtlich umsetzen oder sie an eure Organisation anpasst, verfügen ihr durch das Verständnis dieser Unterscheidungen über die notwendigen Tools, um jede Gruppe und jedes Konto angemessen zu schützen.

Extra Hinweise direkt von learn.microsoft.com

Ein Attribut für das AdminSDHolder-Objekt, „dSHeuristics“, ermöglicht eine eingeschränkte Anpassung (Entfernung) von Gruppen, die als geschützte Gruppen gelten und von AdminSDHolder und SDProp betroffen sind. Diese Anpassung sollte sorgfältig geprüft werden, wenn sie implementiert wird, obwohl es gültige Umstände gibt, unter denen Änderungen von „dSHeuristics“ in AdminSDHolder nützlich sind.

Weitere Informationen zur Änderung des Attributs „dSHeuristics“ für ein AdminSDHolder-Objekt finden Sie in den Microsoft-Support-Artikeln 817433 und in Anhang C: Geschützte Konten und Gruppen in Active Directory.

Obwohl hier die Gruppen mit den umfassendsten Rechten in Active Directory beschrieben werden, gibt es eine Reihe anderer Gruppen, denen erhöhte Berechtigungsebenen gewährt wurden. Weitere Informationen zu allen Standard- und integrierten Gruppen in Active Directory und den jeweils zugewiesenen Benutzerrechten finden Sie unter Anhang B: Privilegierte Konten und Gruppen in Active Directory.

Stephan
|
| | | |
nach oben | Startseite | zur Suche