Active Directory Security Best Practices
Angreifer versuchen hartnäckig, Active Directory-Dienste zu kompromittieren, da diese den Zugriff auf kritische und vertrauliche Daten autorisieren.
Wenn Organisationen expandieren, wird ihre Infrastruktur immer komplexer, was sie viel anfälliger für Angriffe macht, da es schwieriger ist, den Überblick über wichtige Systemänderungen, Ereignisse und Berechtigungen zu behalten.
Außerdem wird es für Unternehmen immer schwieriger festzustellen, wo sich ihre sensiblen Daten befinden und welche Art von Sicherheitsrichtlinien für den Schutz dieser Daten am besten geeignet ist.
In diesem Blog werden wir einige Best Practices für Active Directory vorstellen, die Ihnen dabei helfen werden, die allgemeine Sicherheit Ihrer Active Directory-Umgebung zu verbessern.
- Warum sollten Sie sich um die Sicherheit von Active Directory kümmern?
- Gängige Bedrohungen für die Active Directory-Sicherheit
- Systemschwachstellen in Active Directory
- Insider-Bedrohungen in Active Directory
- Übermäßige Berechtigungen
- Best Practices für die Active Directory-Sicherheit
- Verwalten Sie Active Directory-Sicherheitsgruppen
- Bereinigen Sie inaktive Benutzerkonten im AD
- Überwachen Sie lokale Administratoren
- Verwenden Sie keine GPOs zum Festlegen von Kennwörtern
- Domain Controller (DC)-Anmeldungen überprüfen
- Sicherstellen des LSASS-Schutzes
- Strenge Kennwortrichtlinien
- Vorsicht bei verschachtelten Gruppen
- Offenen Zugriff entfernen
- Audit-Server-Anmelderechte
- Übernehmen Sie das Prinzip der geringsten Rechte für die AD-Sicherheit
- Sichern Sie Ihr Active Directory und verfügen Sie über eine Methode zur Wiederherstellung
- Aktivieren Sie die Sicherheitsüberwachung von Active Directory auf Anzeichen einer Gefährdung
- Audit von Active Directory-Änderungen
- Sichern Sie Ihr Active Directory mit Lepide
Warum sollten Sie sich um die Sicherheit von Active Directory kümmern?
Active Directory ist im Grunde das schlagende Herz Ihrer IT-Umgebung. Die meisten Angriffe oder Sicherheitsbedrohungen, mit denen Sie konfrontiert werden, betreffen Ihr Active Directory in irgendeiner Form.
Ein Außenstehender, der sich Zugang zu Ihren Daten verschaffen will, kann beispielsweise versuchen, Anmeldeinformationen zu stehlen oder Malware zu installieren, um ein Konto zu kompromittieren. Sobald sie sich in Ihrem AD befinden, können sie ihre Privilegien ausweiten und sich seitlich durch das System bewegen, um Zugriff auf Ihre sensiblen Daten zu erhalten.
Deshalb ist es wichtig, dass Sie über eine gute Active Directory-Sicherheit verfügen und sicherstellen, dass Sie Änderungen am AD konsequent überwachen und prüfen, damit Sie potenzielle Angriffe erkennen und rechtzeitig reagieren können.
Gängige Bedrohungen für die Active Directory-Sicherheit
Da es Active Directory schon so lange gibt, haben Angreifer zahlreiche Wege gefunden, um Sicherheitslücken auszunutzen.
Microsoft hat proaktiv Lücken in der Active Directory-Sicherheit geschlossen, aber Angreifer werden immer wieder neue Wege finden, das System und die Menschen, die es benutzen, auszunutzen.
Die Sicherheitsbedrohungen für Active Directory lassen sich grob in zwei Kategorien einteilen: Systemschwachstellen und Insider-Bedrohungen.
Systemschwachstellen in Active Directory
Active Directory verwendet Kerberos-Authentifizierung, die zahlreiche Schwachstellen aufweist, wie Pass the Hash, Pass the Ticket, Golden Ticket und Silver Ticket. AD unterstützt auch die NTLM-Verschlüsselung, ein Überbleibsel aus der Zeit, in der die NTLM-Verschlüsselung in AD verwendet wurde, obwohl die Sicherheit mangelhaft war. Brute-Force-Angriffe sind ebenfalls eine gängige Methode für Angreifer, um in AD einzudringen.
Insider-Bedrohungen in Active Directory
Die häufigste Art und Weise, wie die Sicherheit Ihres Active Directory umgangen werden kann, ist durch Insider-Bedrohungen. Phishing-Angriffe, Social Engineering und Spear-Phishing haben oft Erfolg bei Ihren Benutzern, die nicht sicherheitsbewusst sind, und ermöglichen es Angreifern, mit gestohlenen Anmeldeinformationen Zugang zu Ihrem AD zu erhalten.
Übermäßige Berechtigungen
Übermäßige Berechtigungen sind ebenfalls eine häufige Bedrohung für die Sicherheit von Active Directory, da Benutzer entweder unvorsichtig oder absichtlich böswillig mit Daten umgehen, auf die sie gar nicht erst hätten zugreifen dürfen.
Best Practices für die Active Directory-Sicherheit
Um einigen der im obigen Abschnitt beschriebenen Sicherheitslücken und Risiken in Active Directory wirksam zu begegnen, haben die AD-Experten von Lepide eine Liste mit Best Practices zusammengestellt, die Sie übernehmen können.
Im Folgenden finden Sie eine Zusammenfassung unserer Checkliste für bewährte Praktiken im Bereich Active Directory-Sicherheit:
- Verwaltung von Active Directory-Sicherheitsgruppen
- Bereinigen.Inaktive Benutzerkonten im AD bereinigen
- Lokale Administratoren überwachen
- Keine GPOs zum Festlegen von Kennwörtern verwenden
- Anmeldungen für Domänencontroller (DC) überprüfen
- LSASS-Schutz sicherstellen Schutz
- Strenge Kennwortrichtlinien
- Vorsicht vor verschachtelten Gruppen
- Offenen Zugriff entfernen
- Serveranmeldungsrechte überprüfen
- Prinzip der geringsten Rechte für AD Least Privilege für die AD-Sicherheit
- Sichern Sie Ihr Active Directory und verfügen Sie über eine Wiederherstellungsmethode
- Aktivieren Sie die Sicherheitsüberwachung von Active Directory auf Anzeichen von Kompromittierung
- Überprüfen Sie Active Directory-Änderungen
Verwalten Sie Active Directory-Sicherheitsgruppen
Mitglieder, die Active Directory-Sicherheitsgruppen wie Domain, Enterprise und Schema-Administratoren zugewiesen sind, erhalten die maximale Berechtigungsstufe innerhalb einer Active Directory-Umgebung. Ein Angreifer oder ein böswilliger Insider, der einer dieser Gruppen zugewiesen ist, hat freie Hand über Ihre AD-Umgebung und Ihre kritischen Daten.
Die Einhaltung von Best Practices für Active Directory-Sicherheitsgruppen, wie z. B. die Beschränkung des Zugriffs auf die Benutzer, die ihn benötigen, wird eine weitere Sicherheitsebene für Ihr AD schaffen.
Eine umfassende Liste von Best Practices für Active Directory-Sicherheitsgruppen finden Sie hier.
Bereinigen Sie inaktive Benutzerkonten im AD
Inaktive Benutzerkonten stellen ein ernsthaftes Sicherheitsrisiko für Ihre Active Directory-Umgebung dar, da sie häufig von unseriösen Administratoren und Hackern verwendet werden, um sich Zugang zu wichtigen Daten zu verschaffen, ohne Verdacht zu erregen.
Es ist immer eine gute Idee, inaktive Benutzerkonten zu verwalten. Sie können wahrscheinlich eine Möglichkeit finden, inaktive Benutzerkonten mithilfe von PowerShell oder einer Lösung wie Lepide Active Directory Cleanup im Auge zu behalten.
Überwachen Sie lokale Administratoren
Es ist für Unternehmen sehr wichtig zu wissen, was lokale Administratoren tun und wie ihr Zugriff gewährt wurde. Bei der Gewährung des Zugriffs für lokale Administratoren ist es wichtig, die Regel des „Prinzips der geringsten Privilegien“ zu befolgen.
Verwenden Sie keine GPOs zum Festlegen von Kennwörtern
Mit Hilfe von Gruppenrichtlinienobjekten (GPOs) ist es möglich, innerhalb von Active Directory Benutzerkonten zu erstellen und Kennwörter festzulegen, einschließlich der Kennwörter lokaler Administratoren.
Angreifer oder böswillige Insider können diese GPOs ausnutzen, um die Kennwortdaten ohne erhöhte Zugriffsrechte zu erhalten und zu entschlüsseln. Solche Vorfälle können weitreichende Auswirkungen im gesamten Netzwerk haben.
Dies unterstreicht, wie wichtig es ist, sicherzustellen, dass Systemadministratoren über eine Möglichkeit verfügen, potenzielle Kennwortschwachstellen zu erkennen und zu melden.
Domain Controller (DC)-Anmeldungen überprüfen
Es ist sehr wichtig, dass Systemadministratoren die Möglichkeit haben, zu überprüfen, wer sich an einem Domain Controller anmeldet, um privilegierte Benutzer und alle Anlagen, auf die sie Zugriff haben, zu schützen.
Dies ist ein häufiger blinder Fleck für Organisationen, da sie dazu neigen, sich auf Unternehmens- und Domänenadministratoren zu konzentrieren und vergessen, dass andere Gruppen unangemessene Zugriffsrechte auf Domänencontroller haben können.
Sicherstellen des LSASS-Schutzes
Mit Hacking-Tools wie Mimikatz können Angreifer den Local Security Authority Subsystem Service (LSASS) ausnutzen, um die Anmeldedaten von Benutzern zu extrahieren, die dann für den Zugriff auf Ressourcen verwendet werden können, die mit diesen Anmeldedaten verknüpft sind.
Strenge Kennwortrichtlinien
Eine wirksame Kennwortrichtlinie ist entscheidend für die Sicherheit Ihres Unternehmens. Es ist wichtig, dass die Benutzer ihre Passwörter regelmäßig ändern. Passwörter, die selten oder nie geändert werden, sind weniger sicher, da sie leichter gestohlen werden können.
Im Idealfall sollte Ihr Unternehmen über ein automatisches System verfügen, das Passwörter nach einer bestimmten Zeit ablaufen lässt. Darüber hinaus ist der Lepide User Password Expiration Reminder ein nützliches Tool, das Active Directory-Benutzer automatisch daran erinnert, wenn ihre Passwörter kurz vor dem Ablaufdatum stehen.
Ein Problem, das viele nicht zu lösen scheinen, ist, dass komplexe Passwörter nicht leicht zu merken sind. Dies führt dazu, dass die Benutzer das Kennwort aufschreiben oder auf ihrem Computer speichern. Um dieses Problem zu lösen, verwenden Unternehmen Passphrasen anstelle von Passwörtern, um die Komplexität zu erhöhen, ohne dass man sich die Passwörter nicht merken kann.
Vorsicht bei verschachtelten Gruppen
Es ist üblich, dass Administratoren Gruppen innerhalb anderer Gruppen verschachteln, um die Gruppenmitgliedschaft schnell zu organisieren. Eine solche Verschachtelung von Gruppen stellt jedoch eine Herausforderung für Administratoren dar, da es für sie schwieriger ist, herauszufinden, wer auf welche Gruppe Zugriff hat und warum.
Es ist wichtig, dass Sie in der Lage sind, zu erkennen, welche Gruppen die höchste Anzahl von verschachtelten Gruppen haben und wie viele Verschachtelungsebenen eine Gruppe hat. Es ist auch wichtig zu wissen, wer, was, wo und wann Gruppenrichtlinienänderungen vorgenommen werden.
Offenen Zugriff entfernen
Es ist üblich, dass bekannte Sicherheitskennungen wie Jeder, Authentifizierte Benutzer und Domänenbenutzer verwendet werden, um unangemessene Benutzerrechte für Netzwerkressourcen wie Dateifreigaben zu gewähren. Die Verwendung dieser Sicherheitskennungen kann es Hackern ermöglichen, das Netzwerk des Unternehmens auszunutzen, da sie Zugang zu einer großen Anzahl von Benutzerkonten haben.
Audit-Server-Anmelderechte
Lokale Sicherheitsrichtlinien werden durch Gruppenrichtlinien über eine Reihe von Benutzerrechtszuweisungen gesteuert, darunter:
- Lokale Anmeldung erlauben
- Anmeldung als Batch-Job
- Anmeldung über Remotedesktopdienste erlauben
- Anmeldung als Dienst usw.
Diese Zuweisungen ermöglichen es Nicht-Administratoren, Funktionen auszuführen, die normalerweise Administratoren vorbehalten sind. Wenn diese Funktionen nicht analysiert, eingeschränkt und sorgfältig geprüft werden, könnten Angreifer sie nutzen, um das System zu kompromittieren, indem sie Anmeldedaten und andere sensible Informationen stehlen.
Übernehmen Sie das Prinzip der geringsten Rechte für die AD-Sicherheit
Das Prinzip der geringsten Rechte ist die Idee, dass Benutzer nur die minimalen Zugriffsrechte haben sollten, die für die Ausführung ihrer Arbeitsfunktionen erforderlich sind – alles, was darüber hinausgeht, wird als übertrieben angesehen.
Sie sollten Ihr Active Directory überprüfen, um festzustellen, wer Zugriff auf Ihre sensibelsten Daten hat und welche Ihrer Benutzer über erhöhte Rechte verfügen. Sie sollten bestrebt sein, die Berechtigungen für all jene einzuschränken, die sie nicht benötigen.
Sichern Sie Ihr Active Directory und verfügen Sie über eine Methode zur Wiederherstellung
Es wird empfohlen, Ihr Active Directory regelmäßig zu sichern, wobei die Intervalle 60 Tage nicht überschreiten sollten. Der Grund dafür ist, dass die Lebensdauer von AD-Tombstone-Objekten standardmäßig 60 Tage beträgt. Sie sollten Ihr AD-Backup in Ihren Disaster-Recovery-Plan einbeziehen, damit Sie auf eventuelle Katastrophen vorbereitet sind. In der Regel sollte mindestens ein Domänencontroller gesichert werden.
Sie sollten den Einsatz einer anspruchsvolleren Wiederherstellungslösung in Erwägung ziehen, mit der Sie AD-Objekte sichern und in ihrem ursprünglichen Zustand wiederherstellen können. Wenn Sie Lösungen verwenden, anstatt sich auf die nativen Wiederherstellungsmethoden zu verlassen, sparen Sie viel Zeit.
Aktivieren Sie die Sicherheitsüberwachung von Active Directory auf Anzeichen einer Gefährdung
Wenn Sie in der Lage sind, Ihr Active Directory proaktiv und kontinuierlich zu prüfen und zu überwachen, können Sie die Anzeichen einer Verletzung oder Gefährdung erkennen. In den meisten Fällen können schwerwiegende Sicherheitsverletzungen durch den Einsatz von Überwachungslösungen vermieden werden.
Rezente Erhebungen haben ergeben, dass trotz des Nachweises, dass die Überwachung zur Verbesserung der Sicherheit beiträgt, mehr als 80 % der Unternehmen dies immer noch nicht aktiv tun.
Audit von Active Directory-Änderungen
Es ist von entscheidender Bedeutung, dass Sie alle an Active Directory vorgenommenen Änderungen im Auge behalten müssen. Jede ungewollte oder unautorisierte Änderung kann die Sicherheit Ihres Active Directory ernsthaft beeinträchtigen.
Sichern Sie Ihr Active Directory mit Lepide
Mit unserer Lösung für die Überprüfung und Überwachung von Active Directory erhalten Sie in Echtzeit einen verwertbaren Einblick in die Änderungen, die an Ihrem Active Directory vorgenommen werden. Sie werden in der Lage sein, die Anzeichen einer Kompromittierung in Echtzeit zu erkennen und schneller Maßnahmen zu ergreifen, um potenziell katastrophale Vorfälle zu verhindern.
Wenn Sie nach einer Active Directory Auditing-Lösung suchen, die Echtzeit-Warnungen und vordefinierte Berichte liefert, lohnt sich ein Blick auf Lepide Active Directory Auditor. Sie erhalten eine 15-tägige kostenlose Testversion, um die Lösung zu testen.