Best Practices Active-Directory-Security (1)

Lesezeit
4 Minuten
Bis jetzt gelesen

Best Practices Active-Directory-Security (1)

02.11.2020 - 00:00
Veröffentlicht in:
Active-Directory-Umgebungen stehen häufig im Fokus von Angreifern und Hackern. Sobald auf einem PC in der Domäne eine Malware Anmeldedaten abgreifen kann, besteht die Gefahr, dass die ganze Active-Directory-Umgebung übernommen wird. Im ersten Teil der Workshopserie erklären wir die Hintergründe zu Active-Directory-Angriffen und zeigen, wie Sie Administratorkonten umsichtig einsetzen.
Vor allem Konten mit erhöhten Rechten und Administratorkonten stehen häufig im Fokus der Angreifer. Um das Active Directory optimal abzusichern, sollten sich kleine und mittelständische Unternehmen an Enterprise-Umgebungen orientieren, die in den meisten Fällen für deutlich mehr Sicherheit in der Active-Directory-Umgebung sorgen. Microsoft gibt derweil ausführliche Anleitungen für die Absicherung von Active-Directory-Umgebungen. Im TechNet [1] zeigt das Unternehmen, welche Schritte durchgeführt werden sollten, um das Active Directory möglichst sicher zu betreiben.

Hintergrund zu Active-Directory-Angriffen
Wenn Angreifer in ein Netzwerk eindringen, geschieht das normalerweise über einen einzelnen Endpunkt. Sobald dieser Endpunkt, zum Beispiel ein unsicherer PC, Server, Router oder ein anderes Netzwerkgerät, übernommen wurde, gilt es, Informationen über das Netzwerk zu sammeln. Denn nur mit ausreichend Informationen kann ein Angreifer auch das Netzwerk effizient ausspähen sowie weitere Angriffe durchführen.

Vor allem das Auffinden von Administratorkonten im Netzwerk ist dabei ein wichtiger Schritt. Denn sobald ein Angreifer einmal Zugang zum Netzwerk erlangt hat und auf privilegierte Benutzerkonten zugreifen kann, besteht höchste Gefahr. Sobald ein solches Konto übernommen wurde, zum Beispiel durch einen Pass-the-Hash-Angriff (PtH), lässt sich im Netzwerk nahezu unbeobachtet mit den Rechten des übernommenen Kontos Schaden anrichten.

Pass-the-Hash-Angriffe zielen direkt auf Benutzerkonten im Active Directory. Hier sind natürlich vor allem Benutzerkonten mit privilegierten Rechten interessant. Dabei kann es sich um Administratorkonten handeln, aber auch um Benutzerkonten, die zum Beispiel das Recht erhalten haben, Benutzerkennwörter zu ändern. Auf diesem Weg können sich Angreifer weitere Zugänge verschaffen. PtH-Angriffe setzen dabei nicht nur auf die Kennwörter der Benutzer, sondern auf die Hashes, die einem Benutzerkonto nach der Authentifizierung zugewiesen werden. Einfach ausgedrückt handelt es sich dabei um Eintrittskarten in das Active Directory.

Sobald ein Angreifer ein Benutzerkonto im Active Directory oder der Benutzerverwaltung eines Servers kennt, kann er versuchen, mit PtH-Angriffen an einen Hash des Zugangs zu kommen, auch ohne das Kennwort selbst zu kennen. Der Vorgang zielt also nicht darauf ab, Kennwörter zu hacken oder den Hash zu entschlüsseln. Angreifer wollen vielmehr den Hash übernehmen und damit die Rechte des entsprechenden Kontos. Gelingt dies, kann ein Angreifer problemlos mit Adminrechten im Netzwerk agieren. Besonders gravierend ist das in Umgebungen mit Single Sign-On (SSO). Denn bei entsprechender Konfiguration kann ein Angreifer den Hash nicht nur dazu verwenden, um Schaden im lokalen Netzwerk anzurichten, sondern kann auch auf andere Dienste zugreifen, zum Beispiel in der Cloud. Hybridumgebungen mit Microsoft Azure oder Office 365 sind hier besonders gefährdet.

Administratorkonto umsichtig einsetzen
Administratorkonten sollten in Active-Directory-Umgebungen sehr umsichtig eingesetzt werden. Idealerweise verwenden Sie für die verschiedenen Serveranwendungen im Unternehmen auch jeweils verschiedene Administratorkonten. Accounts für SQL-Server sollten also nicht auch noch für die Verwaltung von Exchange oder des Active Directory zum Einsatz kommen.

Wird ein solches Konto kompromittiert, sind auch alle anderen Serverdienste in Gefahr. Aber auch innerhalb der Standard-Serverdienste von Windows-Servern arbeiten Sie besser mit unterschiedlichen Konten. Windows-Server bieten dazu verschiedene Benutzergruppen an, die standardmäßig verfügbar sind. Vor allem in Gesamtstrukturen sind diese Standardgruppen in der Root-Domäne wichtig:

  • DHCP-Administratoren: Dürfen DHCP-Server in der Domäne verwalten. Die Gruppe wird nach der Installation des ersten DHCP-Servers auf einem Domänencontroller der Domäne erstellt.
  • DHCP-Benutzer: Enthält Benutzerkonten, die lesend auf die Informationen des DHCP-Diensts zugreifen, aber keine Änderungen vornehmen dürfen. Diese Gruppe ist nur für Administratoren und Operatoren, nicht für normale Benutzer oder Computer relevant. Computer, die DHCP-Adressen anfordern, müssen darin nicht aufgenommen werden.
  • DnsAdmins: Diese Gruppe enthält die Administratoren für DNS-Server, jedoch keine Benutzer. Sie kann verwendet werden, um die Administration von DNS-Servern zu delegieren, wenn die DNS-Infrastruktur eines Unternehmens von Administratoren verwaltet wird, die nicht für die Active-Directory-Umgebung zuständig sind. Diese Gruppe wird erst angelegt, wenn ein DNS-Server auf einem Domänencontroller erstellt wurde, der seine Informationen im AD verwaltet.
  • DnsUpdateProxy: In dieser Gruppe befinden sich Computer, die als Proxy für die dynamische Aktualisierung von DNS-Einträgen fungieren können. Diese Gruppe steht nur zur Verfügung, wenn ein Domänencontroller angelegt wird. In diese Gruppe können Sie zum Beispiel DHCP-Server aufnehmen, die dynamische DNS-Einträge für die Clients auf den DNS-Servern erstellen sollen.
  • Richtlinien-Ersteller-Besitzer: Diese Gruppe umfasst die Anwender, die Gruppenrichtlinien für die Domäne erstellen dürfen. Das können Administratoren sein, die sich nur um diese Aufgabe in der Gesamtstruktur kümmern.
  • Gruppen DnsUpdateProxy, Organisations-Admins, Schema-Admins und Dns-Admins: Diese werden in der ersten Domäne, die in einer Gesamtstruktur eingerichtet wird, definiert. Dies ist gleichzeitig die oberste Domäne der ersten Struktur der Gesamtstruktur. Einer Gruppe können Benutzer und Benutzergruppen aus unterschiedlichen Domänen der Struktur hinzugefügt werden.
In sicheren AD-Umgebungen ist es sinnvoll, Konten mit erhöhten Rechten möglichst sparsam einzusetzen. Die Anmeldung sollte immer nur mit dem Administratorkonto erfolgen, das für den jeweiligen Serverdienst eingerichtet ist. Besteht für eine Arbeitsstation der Verdacht, dass diese kompromittiert oder unsicher ist, dann sollten sich Admins keinesfalls mit dem Administratorkonto am System anmelden. Generell ist es durchaus sinnvoll, eine Anmeldung an Rechnern zu vermeiden, die eine Verbindung mit dem Internet haben. Daher sollten die Arbeitsstationen der Administratoren, mit denen die Verwaltung der Umgebung erfolgt, nicht online sein.

Bild 1: Mit Tools wie dem Security Compliance Manager 4.0 betreiben Sie Active-Directory-Umgebungen sicherer.

Generell sollten Administratoren natürlich ohnehin nicht standardmäßig mit Administratorkonten arbeiten, sondern mit normalen Benutzerkonten. Die Verwaltung der Umgebung findet dann an speziellen Arbeitsstationen statt, die ausschließlich der Verwaltung dienen. Die Funktion "Anmelden als…" ist übrigens nicht empfehlenswert, da die Anmeldedaten auf dem Rechner zwischengespeichert werden.

Der Vorteil einer solchen Aufteilung besteht auch darin, dass auf den Verwaltungsrechnern nur die Verwaltungsprogramme installiert sind, die benötigt werden. Diese Arbeitsstationen lassen sich durch Gruppenrichtlinien darüber hinaus besonders absichern. Microsoft bietet dafür zum Beispiel den Security Compliance Manager [2], mit dem Sie Vorlagen für Gruppenrichtlinien erstellen.

Grundsätzlich ist es sinnvoll, für Administratorkonten eine Multifaktor-Authentifizierung sowie Zeitlimits einzusetzen. In einer solchen Infrastruktur erhalten Administratorkonten nur für eine bestimmte Zeit das Recht, eine bestimmte Verwaltungsaufgabe durchzuführen. Ist die Aufgabe abgeschlossen oder die Zeit abgelaufen, werden die Rechte wieder entfernt.

Im zweiten Teil  beleuchten wir das Konzept schreibgeschützter Domänencontroller und erläutern, wie Sie DNS richtig absichern. Im dritten Teil der Workshopserie geht es darum, wie Sie Objekte schützen und verwalten und mit verwalteten Dienstkonten arbeiten.



dr/ln/Thomas Joos

[1] https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory
[2] https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx

Ähnliche Beiträge

Im Test: SQL Sentry von SolarWinds

"SQL Sentry" von SolarWinds ist ein Überwachungswerkzeug für Datenbanken auf Basis von Microsoft SQL Server. Das Tool liefert den Administratoren Leistungsdaten des Servers und der überwachten Datenbankinstanzen in einem einzigen Dashboard. Abgesehen davon bringt es auch noch einige weitere nützliche Funktionen mit. Wir haben uns im Testlabor angesehen, wie sich die Lösung in Betrieb nehmen lässt und wie die tägliche Arbeit mit ihr abläuft.