Tags: Sicherheit, Active Directory, Monitoring, Gruppenrichtlinien, Authentifizierung
Das Active Directory bildet in vielen Unternehmen das Rückgrat der IT-Infrastruktur und daher gebürt ihm die nötige Aufmerksamkeit. Diese Aufgabe kommt jedoch oft zu kurz, weil die Bordmittel von Windows unzureichend oder die dafür nötigen Zuständigkeiten und Abläufe nicht geklärt sind. Dabei helfen oft schon relativ einfache Maßnahmen.
Diesem Thema widmete sich erst kürzlich ein Workshop von MVP Derek Melber, der im Auftrag von ManageEngine in München, Düsseldorf und Berlin referierte. Im folgenden Beitrag greife ich auf den Inhalt des Seminars zurück und ergänze ihn um weitere Tipps zum Härten der eigenen Infrastruktur. Hilfsmittel dabei sind der Group Policy Management Editor, der Local Security Policy Editor (secpol.msc) und Microsofts Security Compliance Manager (SCM) 3.0.
AD-Hardening als permanenter Prozess
Ein Defizit besteht in vielen Firmen darin, dass oftmals Domänen Controller aufgesetzt und Gruppenrichtlinienobjekte (GPOs) erstellt werden, ohne dass Pläne für eine künftige Wartung dieser Systeme existieren. Daher entfällt anschließend allzu oft das dringend nötige Monitoring und Auditing des AD.
Das Security Auditing von Active Directory ist mit Bordmitteln möglich, sprengt bei KMUs ohne separaten AD-Administrator jedoch häufig den Zeitrahmen. Bei großen Infrastrukturen wird die Datenflut zudem schnell unübersichtlich.
Tools wie AD Audit Plus von ManageEngine helfen, den Aufwand für das Auswerten klein zu halten und auch laufende Änderungen einfach zu überwachen. Ziel sollte es sein, den Prozess des Security Hardening nicht zum Stillstand kommen zu lassen.
Häufig fehlt es nicht bloß an diesen vergleichsweise aufwändigen Vorkehrungen, vielmehr ließe sich in vielen kleineren Firmen schon durch relativ einfache Maßnahmen mehr Sicherheit erzielen. Im Folgenden nenne ich daher Beispiele, die schnell umsetzbar sind und zu einer weitergehenden Prüfung der AD-Konfiguration anregen sollen.
Strengere Passwort- und Sperrrichtlinien
Die Nachrichten über erfolgreiche Hackerangriffe sind allgegenwärtig und trotzdem ist es vielen Benutzern immer noch möglich, triviale Passwörter zu verwenden. Offenbar existieren in vielen Umgebungen nach wie vor keine Vorgaben für Komplexität und minimale Länge von Kennwörtern. Das Active Directory gibt standardmäßig Kennwortrichtlinien in der Domain Policy vor, welche sich jedoch schnell und einfach mit Hilfe von GPOs verfeinern lassen.
Speziell bei Firmen, die Exchange-Mailboxen per Outlook Web App (OWA) von außen zugänglich machen, spielen sichere Passwörter und Kontosperrrichtlinien eine wichtige Rolle. Kontosperrungsschwellen könnten dann bei 3 ungültigen Anmeldeversuchen liegen und die Kontosperrdauer bei 30 Minuten mit einer automatischen Zurücksetzungsdauer von 30 Minuten (siehe dazu: Best Practices für die Kontosperrung (Account Lockout))
Ganz allgemein kann man zusätzlich für User mit Zugang zu sensibleren Daten Fine-grained Password Policies konfigurieren. Welche Richtlinie dann tatsächlich beim Rechner der Domäne ankommt, lässt sich mit secpol.msc am Client verifizieren.
Ein weiterer Schutz vor Angriffen lässt sich erreichen, wenn Benutzer die Passwörter in regelmäßigen Intervallen ändern müssen. Dies erschwert Hackern immer wieder den Zugang zum Netzwerk. Ein Richtwert kann hier bei 90 bis 180 Tage liegen.
Auch Azure bietet durch seine Multi-Factor Authentication weitergehende Maßnahmen zum Schutz der Daten im internen Rechenzentrum.
Limitierung privilegierter Gruppen
Ein schnelles und einfaches Hardening des AD wird durch die Limitierung privilegierter Standard-Gruppen erzielt. Dazu zählen allen voran die Schema-Admins, deren Mitglieder das Schema des AD ändern und auf diese Weise die gesamte Infrastruktur in Mitleidenschaft ziehen können. Diese Anpassungen des Schemas sind meistens kein Tagesgeschäft und somit ist es Best Practice, diese Gruppe nur bei Bedarf mit den entsprechenden Mitgliedern zu besetzen und die restliche Zeit einfach leer zu lassen.
Das gleiche Prinzip gilt auch für Organisations-Admins (Enterprise Admins) und Domänen-Admins. Eine strenge Beschränkung ist auch hier sinnvoll, da beispielsweise Orga-Admins globale Rechte an allen Domänen der Gesamtstruktur besitzen. Sie sind damit ebenfalls zu gravierenden Eingriffen fähig. Zusätzlich empfehlen sich das regelmäßige Monitoring und das Warnen bei Modifikation dieser Gruppen.
Baselines vergleichen mit SCM
Der Prozess des Härtens von AD-Strukturen kann unter Umständen erst lange nach der Implementierung der Infrastruktur beginnen, beispielsweise weil ein neuer Admin die Verantwortung für eine bestehende Installation übernimmt.
Auch dann ist ein Vergleich des IST-Zustandes mit den von Microsoft empfohlenen Einstellungen immer noch sinnvoll. Ein kostenloses Tool für diese Aufgabe kann immer noch der Security Compliance Managers (SCM) sein.
Er lässt es unter anderem zu, bereits konfigurierte GPOs zu importieren und diese mit den empfohlenen Einstellungen zu vergleichen. Des Weiteren kann er auf kritische Sicherheitslücken hinweisen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Marcel Küppers arbeitet seit über 25 Jahren in der IT, aktuell als Team Leader, zuvor als Consultant und Infrastructure Architect unter anderem für den japanischen Konzern JTEKT/TOYODA mit Verantwortung über die Europastandorte Krefeld und Paris. Darüber hinaus wirkte er als Berater im EU-Projekt-Team für alle Lokationen des Konzerns mit und ist spezialisiert auf hochverfügbare virtualisierte Microsoft-Umgebungen plus Hybrid Cloud Solutions. Zertifizierungen: MS Specialist und MCTS für Hyper-V/SCVMM, MCSE, MCITP, MCSA. Zusätzlich zertifiziert für PRINCE2 Projektmanagementmethode.
// Kontakt: E-Mail, Twitter, LinkedIn //
Ähnliche Beiträge
- NTLM-Authentifizierung überwachen oder blockieren mit Gruppenrichtlinien
- KrbRelayUp: Domänen-Controller gegen Angriffe auf Resource-based constrained Delegation absichern
- Active Directory mit Microsoft Defender for Identity schützen
- Netlogon: Domänen-Controller verweigern Verbindung zu unsicheren Geräten
- Minimale Passwortlänge: Default Domain Policy versus Set-ADDefaultDomainPasswordPolicy
Weitere Links
4 Kommentare
An dieser Stelle sei auch nochmal auf den Artikel "https://www.windowspro.de/tool/policy-analyzer-fehler-gpos-finden-gpo-ve..." verwiesen. Auch mit dem Policy Analyzer (ebenfalls MS) lassen sich GPOs vergleichen und gut exportieren. Vor allem lassen sich ausschließlich Diffs und Konflikte anzeigen.
Die hier genannten Maßnahmen sind natürlich nur ein kleiner Teil einer umfassenden Sicherheitsstrategie. In Bezug auf Plattformhärtung sind Security Baselines (nicht nur MS) von namhaften Instituten zu verwenden um die für verschiedene Komponenten im Netz die richtigen Regeln festzulegen.
Das Centre for Internet Security (CIS https://benchmarks.cisecurity.org/) ist so eine Institution. Hier lassen sich Hardening Guides für unterschiedlichste Software / Hardware finden, mit denen es möglich ist die System zu härten. Security Benchmarks lassen sich hier kostenlos downloaden und sind im Vergleich zu Microsoft sogar noch ein wenig restriktiver.
Es sei auch auf das richtige Updatemanagement verwiesen. So bringt bspw. das Update KB2871997 eine erhebliche Verbesserung der Sicherheit hervor (Protected Users,RDP Restricted Admin Mode[wobei dieser mit Vorsicht zu genießen ist] usw.)
Auch mit dem Policy Analyzer (ebenfalls MS) lassen sich GPOs vergleichen und gut exportieren.
Guter Tipp, absolut.
Die hier genannten Maßnahmen sind natürlich nur ein kleiner Teil einer umfassenden Sicherheitsstrategie.
Genau das sollte es sein, ein kleiner Ausschnitt, eine Art "Erneute Sensibilisierung".
Das Centre for Internet Security (CIS https://benchmarks.cisecurity.org/) ist so eine Institution. Hier lassen sich Hardening Guides für unterschiedlichste Software / Hardware finden, mit denen es möglich ist die System zu härten.
Auch ein guter Tipp, mir fehlte leider der Umfang an Wörtern :) Ich lege noch einen drauf und zwar im SCM liegt auch ein DOC von MS zu Windows Server 2012 R2 Security Guide.
Hier der angesprochene 700 Seiten starke CIS Benchmark zu 2012 R2 als PDF:
https://benchmarks.cisecurity.org/downloads/browse/index.cfm?category=benchmarks.os.windows.2012
Im SCM unter Windows Server 2012 R2 -> Attachments\Guides liegt
ein MS Security Guide als DOC.
Hierzu noch der Tipp, falls nicht bekannt, dass sich mit dem SCM auch die Baseline als Excel ausgeben lässt. Es gibt zwar auch noch die GroupPolicy Reference aber die hat ja leider keinen Fokus auf Sicherheit, daher sollte man lieber die SCM Policy zur Hand nehmen(wenn nix anderes da ist). ;)