Lesezeit
3 Minuten
Best Practices Active-Directory-Security (3)
Active-Directory-Umgebungen stehen häufig im Fokus von Angreifern und
Hackern. Sobald auf einem PC in der Domäne eine Malware Anmeldedaten
abgreifen kann, besteht die Gefahr, dass die ganze
Active-Directory-Umgebung übernommen wird. Im dritten und letzten Teil der Workshopserie geht es darum, wie Sie Objekte schützen und verwalten und mit verwalteten Dienstkonten arbeiten.
Objekte schützen und wiederherstellen
Um gelöschte Objekte wiederherzustellen, verwenden Sie am besten das "Active Directory Administration Center" in Windows Server 2016/2019. Das hat den Vorteil, dass Ihnen eine grafische Oberfläche zur Verfügung steht. Nachdem Sie den Papierkorb aktiviert und das Active-Directory-Verwaltungscenter neu gestartet haben, gibt es für die entsprechende Gesamtstruktur einen neuen Ordner "Deleted Objects".
Verwaltete Dienstkonten
Die verwalteten Dienstkonten sind eine Neuerung seit Windows Server 2008 R2 und wurden in Windows Server 2012 R2 deutlich verbessert. In Windows Server 2016/2019 funktionieren die verwalteten Dienstkonten noch in etwa so, wie in Windows Server 2012 R2. Sie können ein verwaltetes Dienstkonto für mehrere Server nutzen. Dazu hat Microsoft zu den bereits verwalteten Dienstkonten (Managed Service Accounts, MSA) noch die gruppierten verwalteten Dienstkonten (Grouped Managed Service Accounts, gMSA) entwickelt. Sie administrieren die verwalteten Dienstkonten in der PowerShell. Mit der Freeware "Managed Service Accounts GUI" [3] legen Sie verwaltete Dienstkonten in Windows Server 2016 und 2019 besonders einfach an.
Im Fokus der Funktion stehen die Dienstkonten von Serveranwendungen wie Exchange oder SQL Server, die wichtig für den Betrieb, zum anderen aber auch kritisch im Bereich der Sicherheit sind, da die Benutzerkonten, mit denen diese Dienste starten, oft über weitreichende Rechte verfügen.
Vor allem die Dienste "Lokaler Dienst", "Netzwerkdienst" und "Lokales System" werden häufig für Serveranwendungen verwendet, teilweise sogar Administratorkonten. Der Nachteil dieser lokalen Dienste ist die fehlende Möglichkeit, Einstellungen auf Domänenebene vorzunehmen. Verwenden Sie statt diesen Konten Benutzerkonten aus dem Active Directory, ergeben sich bezüglich der Verwaltung der Kennwörter neue Probleme. Damit Sie die OU "Managed Service Accounts" und die darin angelegten Dienstkonten sehen, müssen Sie unter Umständen im Snap-In "Active Directory-Benutzer und -Computer" die erweiterte Ansicht über das Menü "Ansicht" aktivieren.
Verwaltete Dienstkonten sind Benutzerkonten im Active Directory, die zur Nutzung von lokalen Diensten verwendet werden. Dabei werden die Kennwörter dieser Konten nicht manuell, sondern automatisch bei bestimmten Bedingungen durch das Active Directory geändert. Administratoren können solche Änderungen manuell anstoßen. Der Vorteil liegt darin, dass die Systemdienste, die diese Benutzerkonten verwenden, bei Kennwortänderungen nicht von Administratoren konfiguriert werden müssen, sondern die Änderung der Kennwörter automatisch übernehmen. Die Verwaltung solcher Dienstkonten lässt sich auch an Nichtadministratoren delegieren, zum Beispiel internen Programmierer des Datenbanksystems.
Active Directory überwachen
Die Verwaltungsaufgaben im Active Directory sollten regelmäßig überwacht werden. Neben professionellen Lösungen zur Überwachung lassen sich in kleinen und mittleren Umgebungen auch kostenlose Tools einsetzen. Ändern Administratoren Einstellungen in der Exchange-Umgebung oder im Active Directory, fällt das selten auf. Mit dem kostenlosen Werkzeug "Netwrix Active Directory Change Reporter" [4] werden alle Änderungen protokolliert und auf Wunsch per E-Mail verschickt. So haben Verantwortliche im Unternehmen immer einen Überblick und Änderungen lassen sich bei Problemen wieder rückgängig machen.
Der Vorteil des Tools ist dessen sehr leichte Einrichtung. Sie können die Freeware in wenigen Minuten in Ihre Umgebung einbinden. In einer grafischen Oberfläche werden alle notwendigen Einstellungen vorgenommen. Nach dem Download des Tools starten Sie zunächst die grafische Oberfläche und nehmen die Einstellungen vor. Die Software sendet E-Mails mit Informationen zu Änderungen in der Exchange-Umgebung.
Bild 5: Zusatztools finden inaktive und nicht mehr benötigte Konten in AD.
Mit dem kostenlosen "Solarwinds Active Directory Admin Tools Bundle" [5] erhalten Sie ferner Zusatztools, die bei der Anzeige und dem Löschen von inaktiven Benutzer- und Computerkonten in Active Directory helfen. Über eine CSV-Datei lassen sich außerdem mehrere Benutzer gleichzeitig anlegen. Die Tool-Sammlung besteht aus den drei Tools
Fazit
Um die Sicherheit im Active Directory zu verbessern, sind keine teuren Zusatztools notwendig. Selbst die Standardwerkzeuge von Windows Server bieten meist hinreichende Sicherheitsfunktionen. Generell müssen vor allem die Admin-Konten besonders abgesichert werden.
dr/ln/Thomas Joos
[3] www.cjwdev.co.uk/Software/MSAGUI/Info.html
[4] http://lp.netwrix.com/audit_exchange_server_changes.html
[5] www.solarwinds.com/free-tools/active-directory-admin-tools-bundle
In Windows Server 2016 und 2019 und lassen sich AD-Objekte vor dem versehentlichen Löschen schützen. Der Schutz ist standardmäßig aktiviert. Nachdem Sie über das Menü "Ansicht" in "Active Directory-Benutzer und -Computer" die erweiterte Ansicht aktiviert haben, finden Sie auf der Registerkarte "Objekt" das Kontrollkästchen "Objekt vor zufälligem Löschen schützen" vor. Diese Option steuert die Berechtigungen auf der Registerkarte "Sicherheit". Der Gruppe "Jeder" wird der Eintrag "Löschen" verweigert. Auch ein Administrator muss vor dem Löschen eines solchen geschützten Objektes zunächst das Kontrollkästchen zu dieser Option deaktivieren.
Den Papierkorb für gelöschte Objekte verwalten Sie in Windows Server 2016 und 2019 im Active-Directory-Verwaltungscenter. Grundlage ist der Papierkorb des Active Directory, den Sie zunächst für die Gesamtstruktur aktivieren müssen. Diesen Vorgang nehmen Sie über das Kontextmenü der Gesamtstruktur auf der linken Seite der Konsole im Active-Directory-Verwaltungscenter vor. Sie können den Papierkorb nur dann aktivieren, wenn die Funktionsebene der Gesamtstruktur auf mindestens Windows Server 2008 R2 gesetzt ist.
Bild 3: Wichtige Objekte können Sie im Active Directory vor dem Löschen schützen.
Um gelöschte Objekte wiederherzustellen, verwenden Sie am besten das "Active Directory Administration Center" in Windows Server 2016/2019. Das hat den Vorteil, dass Ihnen eine grafische Oberfläche zur Verfügung steht. Nachdem Sie den Papierkorb aktiviert und das Active-Directory-Verwaltungscenter neu gestartet haben, gibt es für die entsprechende Gesamtstruktur einen neuen Ordner "Deleted Objects".
Verwaltete Dienstkonten
Die verwalteten Dienstkonten sind eine Neuerung seit Windows Server 2008 R2 und wurden in Windows Server 2012 R2 deutlich verbessert. In Windows Server 2016/2019 funktionieren die verwalteten Dienstkonten noch in etwa so, wie in Windows Server 2012 R2. Sie können ein verwaltetes Dienstkonto für mehrere Server nutzen. Dazu hat Microsoft zu den bereits verwalteten Dienstkonten (Managed Service Accounts, MSA) noch die gruppierten verwalteten Dienstkonten (Grouped Managed Service Accounts, gMSA) entwickelt. Sie administrieren die verwalteten Dienstkonten in der PowerShell. Mit der Freeware "Managed Service Accounts GUI" [3] legen Sie verwaltete Dienstkonten in Windows Server 2016 und 2019 besonders einfach an.
Im Fokus der Funktion stehen die Dienstkonten von Serveranwendungen wie Exchange oder SQL Server, die wichtig für den Betrieb, zum anderen aber auch kritisch im Bereich der Sicherheit sind, da die Benutzerkonten, mit denen diese Dienste starten, oft über weitreichende Rechte verfügen.
Vor allem die Dienste "Lokaler Dienst", "Netzwerkdienst" und "Lokales System" werden häufig für Serveranwendungen verwendet, teilweise sogar Administratorkonten. Der Nachteil dieser lokalen Dienste ist die fehlende Möglichkeit, Einstellungen auf Domänenebene vorzunehmen. Verwenden Sie statt diesen Konten Benutzerkonten aus dem Active Directory, ergeben sich bezüglich der Verwaltung der Kennwörter neue Probleme. Damit Sie die OU "Managed Service Accounts" und die darin angelegten Dienstkonten sehen, müssen Sie unter Umständen im Snap-In "Active Directory-Benutzer und -Computer" die erweiterte Ansicht über das Menü "Ansicht" aktivieren.
Bild 4: Verwaltete Dienstkonten lassen sich in der PowerShell, aber auch mit Freeware managen.
Verwaltete Dienstkonten sind Benutzerkonten im Active Directory, die zur Nutzung von lokalen Diensten verwendet werden. Dabei werden die Kennwörter dieser Konten nicht manuell, sondern automatisch bei bestimmten Bedingungen durch das Active Directory geändert. Administratoren können solche Änderungen manuell anstoßen. Der Vorteil liegt darin, dass die Systemdienste, die diese Benutzerkonten verwenden, bei Kennwortänderungen nicht von Administratoren konfiguriert werden müssen, sondern die Änderung der Kennwörter automatisch übernehmen. Die Verwaltung solcher Dienstkonten lässt sich auch an Nichtadministratoren delegieren, zum Beispiel internen Programmierer des Datenbanksystems.
Active Directory überwachen
Die Verwaltungsaufgaben im Active Directory sollten regelmäßig überwacht werden. Neben professionellen Lösungen zur Überwachung lassen sich in kleinen und mittleren Umgebungen auch kostenlose Tools einsetzen. Ändern Administratoren Einstellungen in der Exchange-Umgebung oder im Active Directory, fällt das selten auf. Mit dem kostenlosen Werkzeug "Netwrix Active Directory Change Reporter" [4] werden alle Änderungen protokolliert und auf Wunsch per E-Mail verschickt. So haben Verantwortliche im Unternehmen immer einen Überblick und Änderungen lassen sich bei Problemen wieder rückgängig machen.
Der Vorteil des Tools ist dessen sehr leichte Einrichtung. Sie können die Freeware in wenigen Minuten in Ihre Umgebung einbinden. In einer grafischen Oberfläche werden alle notwendigen Einstellungen vorgenommen. Nach dem Download des Tools starten Sie zunächst die grafische Oberfläche und nehmen die Einstellungen vor. Die Software sendet E-Mails mit Informationen zu Änderungen in der Exchange-Umgebung.
- SolarWinds-Inactive-Computer-Removal-Tool
- SolarWinds-Inactive-User-AccountRemoval-Tool
- SolarWinds-User-Import-Tool.
Fazit
Um die Sicherheit im Active Directory zu verbessern, sind keine teuren Zusatztools notwendig. Selbst die Standardwerkzeuge von Windows Server bieten meist hinreichende Sicherheitsfunktionen. Generell müssen vor allem die Admin-Konten besonders abgesichert werden.
Im ersten Teil der Workshopserie erklärten wir die Hintergründe zu Active-Directory-Angriffen und haben gezeigt, wie Sie Administratorkonten umsichtig einsetzen. Im zweiten Teil beleuchteten wir das Konzept schreibgeschützter Domänencontroller und haben erläutert, wie Sie DNS richtig absichern.
dr/ln/Thomas Joos
[3] www.cjwdev.co.uk/Software/MSAGUI/Info.html
[4] http://lp.netwrix.com/audit_exchange_server_changes.html
[5] www.solarwinds.com/free-tools/active-directory-admin-tools-bundle