Drei Fragen und Antworten: Der beste Schutz für das Active Directory
Bis zu 90 Prozent aller Angriffe bedienen sich Microsofts Active Directory – es ist der Hebel, um die eigene Sicherheit zu verbessern. Wir zeigen, wie das geht.
(Bild: iX)
Angriffe auf das Active Directory sind Alltag – manche Forscher gehen von 90 Prozent aller Fälle aus. Ein lohnendes Ziel, doch muss man es Kriminellen nicht so einfach machen. Im Interview erklärt Hagen Molzer, wie Maßnahmen, wie etwa das Tiering-Modell, den Angreifern einen Riegel vorschieben.
Beim Schutz des Active Directory gegen Angriffe stößt man immer wieder auf Microsofts Tiering- beziehungsweise Enterprise-Access-Modell. Worum handelt es sich dabei und wie funktioniert es?
Neben dem Beheben von einzelnen, atomaren Fehlkonfigurationen und Schwachstellen im Active Directory, wie einer schwachen Passwortrichtlinie oder nicht abgesicherten Diensten auf den Domänencontrollern, ist die Implementierung einer Form des Tiering-Modells die wichtigste Maßnahme zum proaktiven Absichern einer Active-Directory-Umgebung. Es handelt sich dabei um ein Konzept zur sicheren Administration aller AD-integrierten Systeme und kann – wenn gewünscht – auch weitere Teile der IT-Infrastruktur mit einschließen.
Die Kernkomponenten des Konzepts sind das Einteilen aller Systeme in (typischerweise) drei Tiers oder Ebenen und anschließend die Absicherung der Administration dieser Systeme über die Implementierung verschiedener Maßnahmen. Das übergeordnete Ziel ist zu verhindern, dass die Kompromittierung eines niedrigeren Tiers (z.B. der regulären Clients) die Kompromittierung des Server-Tiers oder des höchsten Tiers erleichtert.
Das klingt aufwendig – ist das denn auch für KMUs eine realistische Option? Und welche Maßnahmen sollte man als Erstes anpacken?
Tatsächlich hat sich in verschiedenen Projekten gezeigt, dass je nachdem wie die Organisation IT-technisch aufgestellt ist und die administrativen Rollen auf die Menschen verteilt sind, sich kleinere Organisationen mit der Implementierung leichter tun können als größere.
Insbesondere in kleinen Umgebungen, in denen alle Admins, zumindest in Vertretung, alles administrieren können müssen, stellt sich nicht die Frage, welcher Admin zukünftig in welches Tier gehört – und es müssen im Zweifel keine Rollen umverteilt werden. Dann kann man direkt damit beginnen, die neuen, nach Tiers getrennten Administrationskonten (also drei pro Administrator) anzulegen. Der nächste Schritt ist dann, einen möglichst sicheren Ausgangspunkt für die Administration zu schaffen, zum Beispiel in Form von neuen separaten, ausschließlich für die Administration verwendeten Computern (PAW – Privileged Access Workstation). Stichwort: Clean-Keyboard-Principal.
Alternativ, aber konzeptionell weniger sicher, kann man eine PAM-Lösung (Privilege Access Management) mit Multifaktor-Authentifizierung zur Verwaltung der neuen Tier-Konten einführen.
Alles zum Tiering-Modell und zum Absichern des Active Directory gibt es im iX kompakt. Außerdem zeigen wir, welche AD-Werkzeuge sich wirklich lohnen und wie Sie Angreifer in die Falle locken. Bestellen Sie das Heft direkt hier als Print oder PDF im heise Shop.
Manche Administratoren verlassen sich auf eine möglichst akkurate Konfiguration und die von Microsoft vorgeschlagenen Härtungsmaßnahmen. Genügt diese Gewissenhaftigkeit? Und muss man sie mit dem Enterprise-Access-Modell auch an den Tag legen?
Genau genommen handelt es sich bei der Administration nach dem Tiering-Modell auch um eine schon lange von Microsoft vorgeschlagene Härtungsmaßnahme. Leider ist das bei Weitem nicht so bekannt und einfach implementierbar wie die Security Baseline, in der Microsoft Härtungsempfehlungen für die Detailkonfiguration von Windows ausspricht und direkt Vorlagen für die Gruppenrichtlinien zum Download zur Verfügung stellt, um den Systemverwaltern die Implementierung besonders einfach zu machen.
Dass es nicht gut ist, sich mit Domänenadministratorkonten auf regulären Servern, oder vielleicht sogar Clients anzumelden, wissen die meisten Administratoren. Die Frage, warum das in der Praxis ein so großes Problem ist, können schon weniger aus dem Stegreif beantworten. Das ist zum Teil immer noch der Tatsache geschuldet, dass von den Admins häufig erwartet wird, den Verzeichnisdienst besonders reibungslos und hochverfügbar zu betreiben – und nicht, ihn besonders sicherzumachen.
Hinzu kommt, dass die Dokumentation zum Tiering-Modell auf der Webseite von Microsoft kaum Hinweise oder Tipps enthält, wie die Konzepte zur sicheren Administration in der Praxis umsetzbar sind. Die Umsetzung der reinen Lehre ist aus Sicht der IT-Sicherheit erstrebenswert, aber nicht praxisnah. Hier gilt es, den für die Organisation passenden Kompromiss aus Aufwandsbereitschaft, Budget und Sicherheitsgewinn zu finden.
Vielen Dank für Ihre Antworten, Herr Molzer.
In der Serie "Drei Fragen und Antworten" will die iX die heutigen Herausforderungen der IT auf den Punkt bringen – egal ob es sich um den Blick des Anwenders vorm PC, die Sicht des Managers oder den Alltag eines Administrators handelt. Haben Sie Anregungen aus Ihrer tagtäglichen Praxis oder der Ihrer Nutzer? Wessen Tipps zu welchem Thema würden Sie gerne kurz und knackig lesen? Dann schreiben Sie uns gerne oder hinterlassen Sie einen Kommentar im Forum.
(fo)
