Sicherheitskonzepte in Active Directory

von

Stefan
in ,

Active Directory (AD) bietet umfassende Sicherheitskonzepte, um Benutzer, Computer und Ressourcen in einer Domäne zu schützen. Die wichtigsten Konzepte umfassen Authentifizierung und Autorisierung sowie Passwort- und Kontosicherheitsrichtlinien.

1. Authentifizierung und Autorisierung

a) Authentifizierung:

  • Definition: Authentifizierung ist der Prozess, bei dem überprüft wird, ob ein Benutzer oder ein Computer tatsächlich derjenige ist, für den er sich ausgibt.
  • Mechanismen in Active Directory:
    1. Kerberos-Authentifizierung:
      • Standardprotokoll für die Authentifizierung in AD.
      • Bietet Single Sign-On (SSO), sodass Benutzer sich nur einmal anmelden müssen, um auf mehrere Ressourcen zuzugreifen.
      • Ablauf:
        • Der Benutzer meldet sich mit einem Benutzernamen und Passwort an.
        • Ein Ticket Granting Ticket (TGT) wird vom Key Distribution Center (KDC) auf dem Domänencontroller ausgestellt.
        • Das TGT wird verwendet, um Zugriff auf andere Ressourcen zu erhalten.
    2. NTLM (NT LAN Manager):
      • Wird als Fallback verwendet, wenn Kerberos nicht verfügbar ist.
      • Weniger sicher als Kerberos und sollte nach Möglichkeit deaktiviert werden.
    3. Smartcard-Authentifizierung:
      • Eine Zwei-Faktor-Authentifizierungsmethode, die Smartcards und PINs verwendet.
      • Erhöht die Sicherheit, insbesondere in sensiblen Umgebungen.

b) Autorisierung:

  • Definition: Autorisierung ist der Prozess, bei dem entschieden wird, welche Aktionen ein authentifizierter Benutzer oder Computer ausführen darf.
  • Mechanismen in Active Directory:
    1. Zugriffssteuerungslisten (ACLs):
      • ACLs definieren, welche Benutzer oder Gruppen Zugriff auf Ressourcen wie Dateien, Ordner oder Drucker haben.
      • Berechtigungen können „Lesen“, „Schreiben“, „Ändern“ oder „Vollzugriff“ umfassen.
    2. Gruppenbasierte Berechtigungen:
      • Sicherheitsgruppen werden verwendet, um Benutzern Zugriffsrechte zuzuweisen.
      • Beispiel: Die Gruppe „HR_Admins“ erhält Vollzugriff auf den Ordner „HR-Dokumente“.
    3. Gruppenrichtlinien (GPOs):
      • Autorisieren oder beschränken den Zugriff auf Funktionen und Ressourcen, z. B. das Sperren von USB-Geräten oder das Erzwingen von Passwortkomplexität.

2. Passwort- und Kontosicherheitsrichtlinien

a) Passwortsicherheitsrichtlinien:

  • Definition: Diese Richtlinien legen fest, wie sicher die Passwörter von Benutzern und Computern sein müssen.
  • Wichtige Einstellungen:
    1. Mindestlänge:
      • Legt die minimale Anzahl von Zeichen fest, die ein Passwort haben muss.
      • Beispiel: Mindestens 8 Zeichen.
    2. Komplexitätsanforderungen:
      • Passwörter müssen Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten.
    3. Passwortablauf:
      • Benutzer müssen ihre Passwörter regelmäßig ändern (z. B. alle 90 Tage).
    4. Passwortwiederverwendung:
      • Verhindert, dass Benutzer alte Passwörter wiederverwenden.
    5. Maximale und minimale Passwortalter:
      • Maximales Alter: Wie lange ein Passwort gültig ist.
      • Minimales Alter: Wie lange ein Passwort verwendet werden muss, bevor es geändert werden kann.

b) Kontosicherheitsrichtlinien:

  • Definition: Diese Richtlinien schützen Benutzerkonten vor Missbrauch.
  • Wichtige Einstellungen:
    1. Kontosperrungsrichtlinien:
      • Kontosperrungsschwelle: Anzahl der fehlgeschlagenen Anmeldeversuche, bevor ein Konto gesperrt wird.
      • Kontosperrdauer: Zeitraum, für den ein Konto gesperrt bleibt.
      • Zurücksetzungsdauer: Zeitraum, nach dem die Zählung fehlgeschlagener Anmeldeversuche zurückgesetzt wird.
    2. Anmeldezeitbeschränkungen:
      • Legt fest, wann sich Benutzer anmelden dürfen.
      • Beispiel: Benutzer dürfen sich nur während der Arbeitszeiten anmelden.
    3. Interaktive Anmeldung:
      • Anzeigen von Warnungen oder rechtlichen Hinweisen vor der Anmeldung.
    4. Zwei-Faktor-Authentifizierung (2FA):
      • Ergänzt die Passwortsicherheit durch eine zusätzliche Authentifizierungsmethode, z. B. ein Einmalpasswort (OTP) oder eine Smartcard.

c) Umsetzung der Richtlinien:

  • Gruppenrichtlinien (GPOs):
    • Passwort- und Kontosicherheitsrichtlinien werden über GPOs konfiguriert.
    • Pfad: Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien.
  • Feingranulare Kennwortrichtlinien (FGPP):
    • Ermöglichen unterschiedliche Passwortanforderungen für verschiedene Benutzer oder Gruppen.
    • Beispiel: Administratoren müssen komplexere Passwörter verwenden als normale Benutzer.

Best Practices für Sicherheitskonzepte in Active Directory

  1. Starke Passwortrichtlinien:
    • Erzwinge komplexe Passwörter und regelmäßige Änderungen.
    • Verwende Passwortrichtlinien, die den aktuellen Sicherheitsstandards entsprechen.
  2. Zwei-Faktor-Authentifizierung:
    • Implementiere 2FA für sensible Konten, insbesondere für Administratoren.
  3. Minimale Rechtevergabe:
    • Gib Benutzern nur die Berechtigungen, die sie für ihre Arbeit benötigen (Prinzip der minimalen Rechtevergabe).
  4. Regelmäßige Überprüfung:
    • Überprüfe regelmäßig Benutzerkonten, Gruppenmitgliedschaften und Berechtigungen.
  5. Sicherheitsüberwachung:
    • Aktiviere die Überwachung von Anmeldeereignissen und Kontoänderungen.
    • Nutze Tools wie „Windows Event Viewer“ oder SIEM-Lösungen, um verdächtige Aktivitäten zu erkennen.
  6. Schutz von Administratorenkonten:
    • Verwende separate Konten für administrative Aufgaben.
    • Aktiviere Kontosperrungsrichtlinien und 2FA für alle Administratorenkonten.
  7. Sicherheitsupdates:
    • Halte alle Domänencontroller und Clients auf dem neuesten Stand, um Sicherheitslücken zu schließen.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert