IT-Security: Active-Directory-Härtungsmaßnahmen jenseits von Group Policies

Viele Einzelmaßnahmen verbessern zusammen die Sicherheit des Active Directory deutlich. Ein Angriff auf die eigene IT zeigt, wo es noch Schwächen gibt.

Artikel verschenken

15.06.2021, 08:00 Uhr

Lesezeit: 31 Min.

iX Magazin

Von

Marco Wohler

IT-Security: Active-Directory-Härtungsmaßnahmen jenseits von Group Policies
- Schutz von Zugangsdaten
- Least Privileges
Berechtigungen bei verschachtelten Gruppen
Firewalls: Abschottung ist noch immer Trumpf
Application Whitelisting
BloodHound
Fazit

Artikel in iX 6/2021 lesen

Der vorliegende Teil der Active-Directory-Reihe setzt die Härtungsmaßnahmen des Artikels "IT-Sicherheit: Wie Administratoren ihr Active Directory absichern" fort. Konnte man dort schon mit regelmäßigen Updates, einer guten Passwort-Policy und den richtigen Gruppenrichtlinien, also mit relativ wenig Aufwand, ein gutes Maß an Sicherheit erzielen, so geben die nun vorgestellten Maßnahmen den letzten Schliff. Das Augenmerk gilt dem Schutz der Zugangsdaten und weiteren Maßnahmen wie dem gezielten Einsatz von Firewalls.

Der Artikel zeigt auch, wie man sich mit Angriffswerkzeugen und anderen Tools selbst auditieren kann. Bei der Absicherung eines komplexen Gebildes wie des Active Directory ist es wichtig, die Zusammenhänge zwischen den verschiedenen Funktionen, Protokollen und Maßnahmen zu sehen. Ein Angriff auf die eigene Infrastruktur kann dabei helfen, Lücken aufzuzeigen und die Kenntnisse über die Infrastruktur zu erweitern.

Nachdem die Group Policies konfiguriert und die Härtungsmaßnahmen umgesetzt wurden, steht nun der Schutz privilegierter Accounts an. Windows bringt dafür schon einige Funktionen mit, etwa in Form der Gruppe "geschützte Benutzer" ("Protected Users"), zu der alle privilegierten Benutzerkonten gehören sollten. Dadurch werden implizit Härtungsmaßnahmen auf die Konten angewandt. So werden unter anderem veraltete Authentisierungsprotokolle nicht mehr akzeptiert und Kerberos-Einstellungen zu Verschlüsselung und Ticketlebenszeit neu gesetzt. Eine Übersicht über die Gruppe und ihre Funktionen ist bei Microsoft zu finden.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Security: Passkeys mit Open-Source-Tools nutzen

Sie können das sichere und komfortable Login-Verfahren auch mit Open-Source-Tools verwenden, ohne sich von Google oder Apple abhängig zu machen. So geht's!

Was Windows 11 Version 24H2 Neues bringt – und was rausfliegt

Im Herbst 2024 steht unweigerlich wieder eine frische Windows-Version mit einem Schwung neuer Funktionen an. Was drinsteckt, ist bereits gut zu erkennen.

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Viele prominente Websites bieten das sichere Einloggen per Passkey an. Die Eingabe des Passworts fällt flach und Phishing gehört der Vergangenheit an.

Passkeys in eigenen Anwendungen

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Mit der Software Caddy lassen sich mit verschiedenen Domains unterschiedliche Server im gleichen Netzwerk aufrufen. Wir zeigen, wie es geht.

Ein dunkelblauer Hintergrund mit kleinen roten Strichen. Im Vordergrund auf der linken Seite ist ein Universiäts Absolventen Hut.

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Drei Jahre lang Mathematik, Logik und Programmieren lernen. Das Informatikstudium ist ein klassischer Weg in die IT. Wir zeigen, wie es abläuft.

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Eine unkomplizierte Heranführung an Wärmepumpen-Nutzung: Was brauchen Sie? Was ist wichtig? Und wie können Sie das einigermaßen simpel halten?

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Security: Passkeys mit Open-Source-Tools nutzen

Sie können das sichere und komfortable Login-Verfahren auch mit Open-Source-Tools verwenden, ohne sich von Google oder Apple abhängig zu machen. So geht's!

Was Windows 11 Version 24H2 Neues bringt – und was rausfliegt

Im Herbst 2024 steht unweigerlich wieder eine frische Windows-Version mit einem Schwung neuer Funktionen an. Was drinsteckt, ist bereits gut zu erkennen.

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Viele prominente Websites bieten das sichere Einloggen per Passkey an. Die Eingabe des Passworts fällt flach und Phishing gehört der Vergangenheit an.

Passkeys in eigenen Anwendungen

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Mit der Software Caddy lassen sich mit verschiedenen Domains unterschiedliche Server im gleichen Netzwerk aufrufen. Wir zeigen, wie es geht.

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Drei Jahre lang Mathematik, Logik und Programmieren lernen. Das Informatikstudium ist ein klassischer Weg in die IT. Wir zeigen, wie es abläuft.

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Eine unkomplizierte Heranführung an Wärmepumpen-Nutzung: Was brauchen Sie? Was ist wichtig? Und wie können Sie das einigermaßen simpel halten?

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

IT-Security: Active-Directory-Härtungsmaßnahmen jenseits von Group Policies

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Security: Passkeys mit Open-Source-Tools nutzen

Was Windows 11 Version 24H2 Neues bringt – und was rausfliegt

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Security: Passkeys mit Open-Source-Tools nutzen

Was Windows 11 Version 24H2 Neues bringt – und was rausfliegt

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.