Active Directory absichern: Passwortregeln, priviligierte Gruppen prüfen, Baselines vergleichen

    Active Directory härtenDas Active Directory bildet in vielen Unternehmen das Rückgrat der IT-Infrastruktur und daher gebürt ihm die nötige Aufmerksamkeit. Diese Aufgabe kommt jedoch oft zu kurz, weil die Bordmittel von Windows unzureichend oder die dafür nötigen Zuständigkeiten und Abläufe nicht geklärt sind. Dabei helfen oft schon relativ einfache Maßnahmen.

    Diesem Thema widmete sich erst kürzlich ein Workshop von MVP Derek Melber, der im Auftrag von ManageEngine in München, Düsseldorf und Berlin referierte. Im folgenden Beitrag greife ich auf den Inhalt des Seminars zurück und ergänze ihn um weitere Tipps zum Härten der eigenen Infrastruktur. Hilfsmittel dabei sind der Group Policy Management Editor, der Local Security Policy Editor (secpol.msc) und Microsofts Security Compliance Manager (SCM) 3.0.

    AD-Hardening als permanenter Prozess

    Ein Defizit besteht in vielen Firmen darin, dass oftmals Domänen Controller aufgesetzt und Gruppen­richtlinien­objekte (GPOs) erstellt werden, ohne dass Pläne für eine künftige Wartung dieser Systeme existieren. Daher entfällt anschließend allzu oft das dringend nötige Monitoring und Auditing des AD.

    Das Security Auditing von Active Directory ist mit Bordmitteln möglich, sprengt bei KMUs ohne separaten AD-Administrator jedoch häufig den Zeitrahmen. Bei großen Infra­strukturen wird die Datenflut zudem schnell unübersichtlich.

    Derek Melber bei der Präsentation von AD Audit Plus

    Tools wie AD Audit Plus von ManageEngine helfen, den Aufwand für das Auswerten klein zu halten und auch laufende Änderungen einfach zu überwachen. Ziel sollte es sein, den Prozess des Security Hardening nicht zum Stillstand kommen zu lassen.

    Häufig fehlt es nicht bloß an diesen vergleichsweise aufwändigen Vorkehrungen, vielmehr ließe sich in vielen kleineren Firmen schon durch relativ einfache Maßnahmen mehr Sicherheit erzielen. Im Folgenden nenne ich daher Beispiele, die schnell umsetzbar sind und zu einer weiter­gehenden Prüfung der AD-Konfiguration anregen sollen.

    Im Unterschied zum klassischen Hardening-Prozess nimmt Next-Gen auch das Monitoring und Alerting wahr.

    Strengere Passwort- und Sperrrichtlinien

    Die Nachrichten über erfolgreiche Hacker­angriffe sind allgegenwärtig und trotzdem ist es vielen Benutzern immer noch möglich, triviale Passwörter zu verwenden. Offenbar existieren in vielen Umgebungen nach wie vor keine Vorgaben für Komplexität und minimale Länge von Kennwörtern. Das Active Directory gibt standardmäßig Kennwort­richtlinien in der Domain Policy vor, welche sich jedoch schnell und einfach mit Hilfe von GPOs verfeinern lassen.

    Die Kennwort­richtlinien lassen sich über GPOs anpassen.

    Speziell bei Firmen, die Exchange-Mailboxen per Outlook Web App (OWA) von außen zugänglich machen, spielen sichere Passwörter und Kontosperr­richtlinien eine wichtige Rolle. Kontosperrungs­schwellen könnten dann bei 3 ungültigen Anmelde­versuchen liegen und die Kontosperrdauer bei 30 Minuten mit einer automatischen Zurücksetzungsdauer von 30 Minuten (siehe dazu: Best Practices für die Kontosperrung (Account Lockout))

    Ganz allgemein kann man zusätzlich für User mit Zugang zu sensibleren Daten Fine-grained Password Policies konfigurieren. Welche Richtlinie dann tatsächlich beim Rechner der Domäne ankommt, lässt sich mit secpol.msc am Client verifizieren.

    Ein weiterer Schutz vor Angriffen lässt sich erreichen, wenn Benutzer die Passwörter in regel­mäßigen Intervallen ändern müssen. Dies erschwert Hackern immer wieder den Zugang zum Netzwerk. Ein Richtwert kann hier bei 90 bis 180 Tage liegen.

    Auch Azure bietet durch seine Multi-Factor Authentication weitergehende Maßnahmen zum Schutz der Daten im internen Rechenzentrum.

    Limitierung privilegierter Gruppen

    Ein schnelles und einfaches Hardening des AD wird durch die Limitierung privilegierter Standard-Gruppen erzielt. Dazu zählen allen voran die Schema-Admins, deren Mitglieder das Schema des AD ändern und auf diese Weise die gesamte Infrastruktur in Mitleiden­schaft ziehen können. Diese Anpassungen des Schemas sind meistens kein Tagesgeschäft und somit ist es Best Practice, diese Gruppe nur bei Bedarf mit den entsprechenden Mitgliedern zu besetzen und die restliche Zeit einfach leer zu lassen.

    Admin-Gruppen in AD-Benutzer und -Computer

    Das gleiche Prinzip gilt auch für Organisations-Admins (Enterprise Admins) und Domänen-Admins. Eine strenge Beschränkung ist auch hier sinnvoll, da beispielsweise Orga-Admins globale Rechte an allen Domänen der Gesamtstruktur besitzen. Sie sind damit ebenfalls zu gravierenden Eingriffen fähig. Zusätzlich empfehlen sich das regelmäßige Monitoring und das Warnen bei Modifikation dieser Gruppen.

    Baselines vergleichen mit SCM

    Der Prozess des Härtens von AD-Strukturen kann unter Umständen erst lange nach der Implementierung der Infrastruktur beginnen, beispielsweise weil ein neuer Admin die Verantwortung für eine bestehende Installation übernimmt.

    Auch dann ist ein Vergleich des IST-Zustandes mit den von Microsoft empfohlenen Einstellungen immer noch sinnvoll. Ein kostenloses Tool für diese Aufgabe kann immer noch der Security Compliance Managers (SCM) sein.

    Support beim Hardening durch den SCM 3.0

    Er lässt es unter anderem zu, bereits konfigurierte GPOs zu importieren und diese mit den empfohlenen Einstellungen zu vergleichen. Des Weiteren kann er auf kritische Sicherheitslücken hinweisen.

    Besondere Aufmerksamkeit verdient die problematische NTLM-Authentifizierung.

    4 Kommentare

    Bild von Sebastian Taraba
    Sebastian Taraba sagt:
    13. Mai 2016 - 12:01

    An dieser Stelle sei auch nochmal auf den Artikel "https://www.windowspro.de/tool/policy-analyzer-fehler-gpos-finden-gpo-ve..." verwiesen. Auch mit dem Policy Analyzer (ebenfalls MS) lassen sich GPOs vergleichen und gut exportieren. Vor allem lassen sich ausschließlich Diffs und Konflikte anzeigen.

    Die hier genannten Maßnahmen sind natürlich nur ein kleiner Teil einer umfassenden Sicherheitsstrategie. In Bezug auf Plattformhärtung sind Security Baselines (nicht nur MS) von namhaften Instituten zu verwenden um die für verschiedene Komponenten im Netz die richtigen Regeln festzulegen.

    Das Centre for Internet Security (CIS https://benchmarks.cisecurity.org/) ist so eine Institution. Hier lassen sich Hardening Guides für unterschiedlichste Software / Hardware finden, mit denen es möglich ist die System zu härten. Security Benchmarks lassen sich hier kostenlos downloaden und sind im Vergleich zu Microsoft sogar noch ein wenig restriktiver.

    Es sei auch auf das richtige Updatemanagement verwiesen. So bringt bspw. das Update KB2871997 eine erhebliche Verbesserung der Sicherheit hervor (Protected Users,RDP Restricted Admin Mode[wobei dieser mit Vorsicht zu genießen ist] usw.)

    Bild von Marcel Küppers
    13. Mai 2016 - 12:11

    Auch mit dem Policy Analyzer (ebenfalls MS) lassen sich GPOs vergleichen und gut exportieren.

    Guter Tipp, absolut.

    Die hier genannten Maßnahmen sind natürlich nur ein kleiner Teil einer umfassenden Sicherheitsstrategie.

    Genau das sollte es sein, ein kleiner Ausschnitt, eine Art "Erneute Sensibilisierung".

    Das Centre for Internet Security (CIS https://benchmarks.cisecurity.org/) ist so eine Institution. Hier lassen sich Hardening Guides für unterschiedlichste Software / Hardware finden, mit denen es möglich ist die System zu härten.

    Auch ein guter Tipp, mir fehlte leider der Umfang an Wörtern :) Ich lege noch einen drauf und zwar im SCM liegt auch ein DOC von MS zu Windows Server 2012 R2 Security Guide.

    Bild von Marcel Küppers
    15. Mai 2016 - 12:44

    Hier der angesprochene 700 Seiten starke CIS Benchmark zu 2012 R2 als PDF:

    https://benchmarks.cisecurity.org/downloads/browse/index.cfm?category=benchmarks.os.windows.2012

    Im SCM unter Windows Server 2012 R2 -> Attachments\Guides  liegt
    ein MS Security Guide als DOC.

    Bild von Sebastian Taraba
    Sebastian Taraba sagt:
    30. Mai 2016 - 16:34

    Hierzu noch der Tipp, falls nicht bekannt, dass sich mit dem SCM auch die Baseline als Excel ausgeben lässt. Es gibt zwar auch noch die GroupPolicy Reference aber die hat ja leider keinen Fokus auf Sicherheit, daher sollte man lieber die SCM Policy zur Hand nehmen(wenn nix anderes da ist). ;)