Active Directory Sicherheitsmanagement ist der Zweite Teil einer Serie. In dem ersten Teil haben wir die Basics von Active Directory aufgegriffen und einfach erklärt.
Wir haben berichtet was das Active Directory ausmacht und wichtige Begriffe geklärt. In diesem Artikel gehen wir auf Techniken ein, die Administratoren unterstützt das Active Directory sicher zu gestalten.
Das Active Directory ist richtig verwendet ein mächtiges Werkzeug. Es kann aber ebenso in den falschen Händen zu einer massiven Gefährdung werden. Daher steigen auch die Anforderungen an ein sicheres Active Directory immer mehr.
In vielen Branchen, die allen Regularien wie dem BSI-Grundschutz, TISAX oder BAIT unterliegen ist es unabdingbar eine nachvollziehbare und sichere Berechtigungsverwaltung zu gewährleisten.
Personen oder Gruppen direkt Berechtigungen auf ein Verzeichnis zu geben ist eine Vorgehensweise, die unterlassen werden sollte. Mit einer steigenden Zahl von Mitarbeitern schwindet so nicht nur die Übersichtlichkeit der Berechtigungen, sondern auch die Sicherheit wird langsam untergraben. Vor allem in Zeiten, in denen Insider Threats eine immer größere Bedrohung werden, kann sich eine solche Vorgehensweise als problematisch darstellen.
Stattdessen sollte auf das Best-Practice aus dem Hause Microsoft zurückgegriffen werden. AGDLP bezeichnet genau diese empfohlene Herangehensweise von Microsoft an das Thema rollenbasierte Zugriffssteuerung – kurz RBAC. Die Abkürzung AGDLP steht für (Computer- und Benutzer) Accounts, globale Gruppen, DomänenLokale Gruppen und Berechtigungen (Permissions).
Die Herangehensweise besagt, dass Berechtigungen, auf eine bestimmte Ressource, nicht an einzelne Individuen abgetreten wird. Sondern ausschließlich an die DomänenLokalen Gruppen vergeben wird. Innerhalb dieser domänenlokalen Gruppen finden sich die globalen Gruppen, in denen dann die individuellen Computer- und Benutzer Accounts liegen. Eine solche Herangehensweise birgt einige Vorteile:
Trotz des großen Verwaltungsaufwandes – Microsoft hat bisher noch kein Standard-Tool für die Verwaltung der benötigten Strukturen veröffentlicht – ist AGDLP eine gute Herangehensweise, um eine sichere Berechtigungsstruktur in das Active Directory einzubinden. Aber auch hier bietet der Markt Drittanbieter-Lösungen an, die das fehlende Tool ersetzen, sodass die manuelle Verwaltung minimiert wird.
Das händische Einrichten von Sicherheitseinstellungen bei jedem Benutzer oder Computer ist eine mühselige und vor allem fehleranfällige Aufgabe. Was sich nach einer machbaren Aufgabe bei kleinen Firmen anhört wird bei Erreichen des erhofften Wachstums schnell zu einer Mammut-Aufgabe, die sich nicht mehr sicher umsetzten lässt. Auch für dieses Problem hat sich Microsoft eine Lösung ausgedacht – die Gruppenrichtlinien.
Dank Gruppenrichtlinien können Administratoren ganze Blöcke an Richtlinien festlegen und dann entsprechend den Gruppen zuweisen, auf die sie angewandt werden sollen.
Zusammengefasst bezeichnet man diese Gruppenrichtlinien als GPOs – Group Policy Objects – oder zu Deutsch als Gruppenrichtlinienobjekte. Diese Individuellen Einstellungen, die ein Administrator definiert, können anschließend als Gruppenrichtlinieneinstellung auf Standort-, Domänen-, Organisationsebene oder lokal übernommen werden um Regeln und Einstellungen in ihrem Wirkungsbereich zu erzwingen. So können beispielsweise bestimmte Richtlinien für “Notebooks” erstellt werden, die dann als GPO für alle Notebooks in der Domäne zuständig sind.
Durch die verschiedenen Ebenen, auf denen Gruppenrichtlinien angewandt werden können, entsteht eine Hierarchie:
Die Lokale Gruppenrichtlinien stehen an erster Stelle. Sie haben so immer Vorrang, gefolgt von den Standort-, Domänen,- und Organisationsebenen. Dadurch kann auf Organisationsebene die Mindestpasswortlänge als 12 definiert sein. Wenn aber hingegen lokal auf dem Gerät eines Administrators die Richtlinie auf 16 festgelegt wurde, greift die lokale Richtlinie. Umso wichtiger ist es daher, die Richtlinien genau aufeinander abzustimmen.
Um eine bestmögliche Sicherheit zu erwirken, müssen lokale und globale Gruppenrichtlinien nicht nur definiert, sondern auch beim Geräte Onboarding im Haus oder beim Dienstleister verstanden und umgesetzt werden. Ansonsten kann es passieren, dass Teils unsichere lokale Richtlinien gegenüber den sichereren globalen Richtlinien forciert werden.
Gruppenrichtlinien, die im Active Directory zentral verwaltet werden, werden nur erzwungen, wenn sich ein Benutzer oder ein Gerät innerhalb der Domäne anmeldet.
Um dies zu verhindern, können Gruppenrichtlinien auch lokal auf einem Gerät, bzw. auf Geräten, die von einem Domänencontroller verwaltet werden, angewandt werden. Diese Richtlinien haben dann lediglich einen lokalen Geltungsbereich und werden nicht über das Active Directory zentral verwaltet.
Dementsprechend ist es essenziell eine Kombination aus lokalen und zentralen Gruppenrichtlinien zu verwenden, um Sicherheit auch gewährleisten zu können, wenn ein User nicht in der Domäne angemeldet ist. Auf jeden fall ist zu beachten dass größere Sicherheitsänderungen gegebenenfalls an Geräten nachgesteuert werden müssen, das sie nicht über die Domänen GPO verteilt werden können.
