Fachartikel

Best Practices Active-Directory-Security (3)

Active-Directory-Umgebungen stehen häufig im Fokus von Angreifern und Hackern. Sobald auf einem PC in der Domäne eine Malware Anmeldedaten abgreifen kann, besteht die Gefahr, dass die ganze Active-Directory-Umgebung übernommen wird. Im dritten und letzten Teil der Workshopserie geht es darum, wie Sie Objekte schützen und verwalten und mit verwalteten Dienstkonten arbeiten.
Um die Sicherheit im Active Directory zu verbessern, sind keine teuren Zusatztools notwendig.
Objekte schützen und wiederherstellen
In Windows Server 2016 und 2019 und lassen sich AD-Objekte vor dem versehentlichen Löschen schützen. Der Schutz ist standardmäßig aktiviert. Nachdem Sie über das Menü "Ansicht" in "Active Directory-Benutzer und -Computer" die erweiterte Ansicht aktiviert haben, finden Sie auf der Registerkarte "Objekt" das Kontrollkästchen "Objekt vor zufälligem Löschen schützen" vor. Diese Option steuert die Berechtigungen auf der Registerkarte "Sicherheit". Der Gruppe "Jeder" wird der Eintrag "Löschen" verweigert. Auch ein Administrator muss vor dem Löschen eines solchen geschützten Objektes zunächst das Kontrollkästchen zu dieser Option deaktivieren.

Den Papierkorb für gelöschte Objekte verwalten Sie in Windows Server 2016 und 2019 im Active-Directory-Verwaltungscenter. Grundlage ist der Papierkorb des Active Directory, den Sie zunächst für die Gesamtstruktur aktivieren müssen. Diesen Vorgang nehmen Sie über das Kontextmenü der Gesamtstruktur auf der linken Seite der Konsole im Active-Directory-Verwaltungscenter vor. Sie können den Papierkorb nur dann aktivieren, wenn die Funktionsebene der Gesamtstruktur auf mindestens Windows Server 2008 R2 gesetzt ist.


Bild 3: Wichtige Objekte können Sie im Active Directory vor dem Löschen schützen.

Um gelöschte Objekte wiederherzustellen, verwenden Sie am besten das "Active Directory Administration Center" in Windows Server 2016/2019. Das hat den Vorteil, dass Ihnen eine grafische Oberfläche zur Verfügung steht. Nachdem Sie den Papierkorb aktiviert und das Active-Directory-Verwaltungscenter neu gestartet haben, gibt es für die entsprechende Gesamtstruktur einen neuen Ordner "Deleted Objects".

Verwaltete Dienstkonten
Die verwalteten Dienstkonten sind eine Neuerung seit Windows Server 2008 R2 und wurden in Windows Server 2012 R2 deutlich verbessert. In Windows Server 2016/2019 funktionieren die verwalteten Dienstkonten noch in etwa so, wie in Windows Server 2012 R2. Sie können ein verwaltetes Dienstkonto für mehrere Server nutzen. Dazu hat Microsoft zu den bereits verwalteten Dienstkonten (Managed Service Accounts, MSA) noch die gruppierten verwalteten Dienstkonten (Grouped Managed Service Accounts, gMSA) entwickelt. Sie administrieren die verwalteten Dienstkonten in der PowerShell. Mit der Freeware "Managed Service Accounts GUI" [3] legen Sie verwaltete Dienstkonten in Windows Server 2016 und 2019 besonders einfach an.

Im Fokus der Funktion stehen die Dienstkonten von Serveranwendungen wie Exchange oder SQL Server, die wichtig für den Betrieb, zum anderen aber auch kritisch im Bereich der Sicherheit sind, da die Benutzerkonten, mit denen diese Dienste starten, oft über weitreichende Rechte verfügen.

Vor allem die Dienste "Lokaler Dienst", "Netzwerkdienst" und "Lokales System" werden häufig für Serveranwendungen verwendet, teilweise sogar Administratorkonten. Der Nachteil dieser lokalen Dienste ist die fehlende Möglichkeit, Einstellungen auf Domänenebene vorzunehmen. Verwenden Sie statt diesen Konten Benutzerkonten aus dem Active Directory, ergeben sich bezüglich der Verwaltung der Kennwörter neue Probleme. Damit Sie die OU "Managed Service Accounts" und die darin angelegten Dienstkonten sehen, müssen Sie unter Umständen im Snap-In "Active Directory-Benutzer und -Computer" die erweiterte Ansicht über das Menü "Ansicht" aktivieren.

Bild 4: Verwaltete Dienstkonten lassen sich in der PowerShell, aber auch mit Freeware managen.

Verwaltete Dienstkonten sind Benutzerkonten im Active Directory, die zur Nutzung von lokalen Diensten verwendet werden. Dabei werden die Kennwörter dieser Konten nicht manuell, sondern automatisch bei bestimmten Bedingungen durch das Active Directory geändert. Administratoren können solche Änderungen manuell anstoßen. Der Vorteil liegt darin, dass die Systemdienste, die diese Benutzerkonten verwenden, bei Kennwortänderungen nicht von Administratoren konfiguriert werden müssen, sondern die Änderung der Kennwörter automatisch übernehmen. Die Verwaltung solcher Dienstkonten lässt sich auch an Nichtadministratoren delegieren, zum Beispiel internen Programmierer des Datenbanksystems.
Active Directory überwachen
Die Verwaltungsaufgaben im Active Directory sollten regelmäßig überwacht werden. Neben professionellen Lösungen zur Überwachung lassen sich in kleinen und mittleren Umgebungen auch kostenlose Tools einsetzen. Ändern Administratoren Einstellungen in der Exchange-Umgebung oder im Active Directory, fällt das selten auf. Mit dem kostenlosen Werkzeug "Netwrix Active Directory Change Reporter" [4] werden alle Änderungen protokolliert und auf Wunsch per E-Mail verschickt. So haben Verantwortliche im Unternehmen immer einen Überblick und Änderungen lassen sich bei Problemen wieder rückgängig machen.

Der Vorteil des Tools ist dessen sehr leichte Einrichtung. Sie können die Freeware in wenigen Minuten in Ihre Umgebung einbinden. In einer grafischen Oberfläche werden alle notwendigen Einstellungen vorgenommen. Nach dem Download des Tools starten Sie zunächst die grafische Oberfläche und nehmen die Einstellungen vor. Die Software sendet E-Mails mit Informationen zu Änderungen in der Exchange-Umgebung.

Bild 5: Zusatztools finden inaktive und nicht mehr benötigte Konten in AD.

Mit dem kostenlosen "Solarwinds Active Directory Admin Tools Bundle" [5] erhalten Sie ferner Zusatztools, die bei der Anzeige und dem Löschen von inaktiven Benutzer- und Computerkonten in Active Directory helfen. Über eine CSV-Datei lassen sich außerdem mehrere Benutzer gleichzeitig anlegen. Die Tool-Sammlung besteht aus den drei Tools

  • SolarWinds-Inactive-Computer-Removal-Tool
  • SolarWinds-Inactive-User-AccountRemoval-Tool
  • SolarWinds-User-Import-Tool.
Abhängig davon, welche Aufgabe durchgeführt werden soll, wird das entsprechende Tool gestartet.

Fazit
Um die Sicherheit im Active Directory zu verbessern, sind keine teuren Zusatztools notwendig. Selbst die Standardwerkzeuge von Windows Server bieten meist hinreichende Sicherheitsfunktionen. Generell müssen vor allem die Admin-Konten besonders abgesichert werden.

Im ersten Teil der Workshopserie erklärten wir die Hintergründe zu Active-Directory-Angriffen und haben gezeigt, wie Sie Administratorkonten umsichtig einsetzen. Im zweiten Teil  beleuchteten wir das Konzept schreibgeschützter Domänencontroller und haben erläutert, wie Sie DNS richtig absichern.
16.11.2020/dr/ln/Thomas Joos

Nachrichten

Neues Chromebook von HP [13.04.2021]

HP erweitert seine Chromebook-Produktfamilie mit dem Convertible x360 14c. Das Gerät kommt mit einem 14 Zoll FHD-Display mit Corning Gorilla Glass sowie Mikrofonen an drei Seiten des Convertibles und einem Screen-to-Body-Verhältnis von 88 Prozent daher. Für die Datenübertragung sorgt das neue Wi-Fi 6. [mehr]

World Backup Day feiert Zehnjähriges [31.03.2021]

Am heutigen 31. März feiert der World Backup Day sein zehnjähriges Jubiläum. Anlass für Anbieter von Sicherungssoftware und deren Analysten, den Stand beim Thema Backup unter die Lupe zu nehmen. Dass die Experten dabei – je nach eigenem Portfolio – nicht immer auf einer Linie liegen, überrascht nicht. [mehr]

Tipps & Tools

Autovervollständigen-Liste unter Outlook verwalten [16.04.2021]

Die Autovervollständigen-Liste erfreut sich in Outlook großer Beliebtheit und wurde bis Outlook 2007 in der NK2-Datei abgelegt. Diese hat immer den Namen des Profils, wodurch das Kopieren zwischen Profilen und PCs einfach möglich war. Nachteilig war, dass jeder Client seine eigene Liste hatte. Seit Outlook 2010 hat sich das Verfahren etwas verändert. Unser Tipp zeigt, was es nun zu beachten gilt. [mehr]

So gelingt der Cloud-Exit [15.04.2021]

Es gibt viele Gründe, warum Unternehmen Daten oder Applikationen aus einer Public Cloud zu einem anderen Provider oder in die eigene Infrastruktur umziehen. Das können Fragen der Sicherheit oder Kosten sein – oder der Wunsch, unabhängig von einem bestimmten externen Dienstleister zu sein. Wichtig ist, diesen Weg zurück gut zu planen, sodass Applikationen trotz des Umzugs störungsfrei weiterarbeiten können. Wie unser Fachartikel zeigt, kann eine softwaredefinierte Architektur diese und weitere Migrationsaufgaben massiv vereinfachen. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen