IT-Security: Active-Directory-Härtungsmaßnahmen jenseits von Group Policies

Viele Einzelmaßnahmen verbessern zusammen die Sicherheit des Active Directory deutlich. Ein Angriff auf die eigene IT zeigt, wo es noch Schwächen gibt.

Lesezeit: 31 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Marco Wohler
Inhaltsverzeichnis

Der vorliegende Teil der Active-Directory-Reihe setzt die Härtungsmaßnahmen des Artikels "IT-Sicherheit: Wie Administratoren ihr Active Directory absichern" fort. Konnte man dort schon mit regelmäßigen Updates, einer guten Passwort-Policy und den richtigen Gruppenrichtlinien, also mit relativ wenig Aufwand, ein gutes Maß an Sicherheit erzielen, so geben die nun vorgestellten Maßnahmen den letzten Schliff. Das Augenmerk gilt dem Schutz der Zugangsdaten und weiteren Maßnahmen wie dem gezielten Einsatz von Firewalls.

Der Artikel zeigt auch, wie man sich mit Angriffswerkzeugen und anderen Tools selbst auditieren kann. Bei der Absicherung eines komplexen Gebildes wie des Active Directory ist es wichtig, die Zusammenhänge zwischen den verschiedenen Funktionen, Protokollen und Maßnahmen zu sehen. Ein Angriff auf die eigene Infrastruktur kann dabei helfen, Lücken aufzuzeigen und die Kenntnisse über die Infrastruktur zu erweitern.

Nachdem die Group Policies konfiguriert und die Härtungsmaßnahmen umgesetzt wurden, steht nun der Schutz privilegierter Accounts an. Windows bringt dafür schon einige Funktionen mit, etwa in Form der Gruppe "geschützte Benutzer" ("Protected Users"), zu der alle privilegierten Benutzerkonten gehören sollten. Dadurch werden implizit Härtungsmaßnahmen auf die Konten angewandt. So werden unter anderem veraltete Authentisierungsprotokolle nicht mehr akzeptiert und Kerberos-Einstellungen zu Verschlüsselung und Ticketlebenszeit neu gesetzt. Eine Übersicht über die Gruppe und ihre Funktionen ist bei Microsoft zu finden.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, MIT Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich 12,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+