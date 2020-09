Der Verzeichnisdienst Active Directory: einer für alle(s) Allgegenwärtig Frank Ully Nicht zuletzt die Komplexität des Active Directory und die Fülle der darin enthaltenen Informationen sind es, die diesen Dienst so angreifbar machen. Um ihn abzusichern, gilt es zunächst, seine Struktur und seine Arbeitsweise zu verstehen.

iX-tract Um das Active Directory abzusichern, ist eine gute Kenntnis aller Elemente und ihrer Zusammenhänge sowie der Funktionsweise des AD nötig.

Die Sicherheit des Verzeichnisdienstes steht und fällt mit gut aufgesetzten Authentifizierungsprozessen, Zugriffslisten und Vertrauensbeziehungen.

An zahlreichen Schaltstellen können Systemverantwortliche durch falsches Konfigurieren den Dienst ungewollt angreifbar machen.

Eine der wenig bekannten Kardinalregeln der AD-Sicherheit: Nicht die Domäne ist die Sicherheitsgrenze, sondern der Forest.

Ein Verzeichnis dient dem Ablegen von Informationen: In einem Telefonverzeichnis stehen Informationen zu Telefonanschlüssen und deren Besitzer, ein Verzeichnis im Dateisystem beinhaltet Informationen zu den darin enthaltenen Dateien. Ein Verzeichnisdienst stellt Methoden zum Speichern, Verwalten und Abfragen der Informationen bereit.

Das Active Directory ist Microsofts Verzeichnisdienst, der Informationen zu Objekten in Netzwerken verwaltet. Das sind sowohl Geräte wie Clientrechner, Server oder Drucker als auch Dienste und Dateifreigaben sowie Benutzer und Gruppen. Zu jedem Objekt werden Informa­tionen in Form von Attributen gespeichert, zum Beispiel Name, Standort oder Abteilung.

Kernstück des Active Directory: die Domäne

Im AD gespeicherte Daten werden dem Nutzer in einer hierarchischen Struktur präsentiert – ähnlich wie Verzeichnisse, Unterverzeichnisse und Dateien in einem Dateisystem. Innerhalb dieser hierarchischen Struktur werden zwei Arten von Objekten unterschieden: Container enthalten weitere Objekte, das heißt weitere Container oder Nicht-Container. Nicht-Container enthalten keine weiteren Objekte. Man bezeichnet sie daher auch als Endknoten oder Leaf (Blatt).

Ein Container kann beispielsweise eine Organisationseinheit sein, die mehrere Benut­zer umfasst. Die Benutzer selbst sind hingegen Endknoten, da sie keine weiteren Objekte enthalten.

Die Basis der Hierarchie bildet ein spezielles Containerobjekt: die Stammdomäne. Für weitere strukturelle Unterteilungen und Gruppierungen können unterhalb der Stammdomäne zusätzliche Domänen angelegt werden. Eine solche Hierarchie von Domänen wird als Domänenbaum bezeichnet.

Jede Domäne muss über einen eindeutigen Namen verfügen, der den Konventionen des Domain Name Systems (DNS) folgt, beispielsweise ad.2consult.ch. Innerhalb eines Domänenbaums leitet sich der Domänenname einer Kinddomäne entsprechend von der Elterndomäne ab, beispielsweise produktion.ad.2consult.ch und entwicklung.ad.2consult.ch.

Die Domäne fungiert nicht nur als strukturierendes Element, das eine Gruppe von Containern und Objekten enthält. Sie dient vor allem als Verwaltungseinheit, die beispielsweise steuert, dass nur berechtigte Benutzer und Systeme Zugriff auf Ressourcen erhalten. Zudem ist sie eine administrative Grenze beim Anwenden von Sicherheitsrichtlinien und -einstellungen.

Ordentlich sortiert: Benutzer, Computer und Co.

Benutzer- und Computerkonten bilden tatsächliche physische Gegebenheiten ab, zum Beispiel einen Mitarbeiter oder ­einen Rechner im Unternehmen. Mit einem indivi­duellen Konto kann sich ein Benutzer an einem Computer in der Domäne anmelden und auf Ressourcen darin zuzugreifen. Neben personenbezogenen Benutzerkonten gibt es zudem dienstbezogene Konten (Service Accounts), die von bestimmten Anwendungen – beispielsweise Exchange, SharePoint oder SQL-Server – genutzt werden.

Ein Computerkonto dient dazu, Clients und Server, die Teil des Netzwerkes sind, zu authentifizieren, für den Domänen­zugriff zu autorisieren und Sicherheitsrichtlinien darauf anzuwenden. Das gewährleistet, dass eine Anmeldung in der Domäne nicht von jedem beliebigen Rechner erfolgen kann. Der Name der Computerkonten endet mit einem Dollarzeichen (zum Beispiel dateiserver01$ für den ersten Dateiserver), und sie haben außerdem ein Passwort – zufällig generierte 120 Zeichen, die in der Standardeinstellung automatisch alle 30 Tage wechseln.

Server innerhalb einer Domäne fungieren entweder als Domänencontroller – dazu in Kürze mehr – oder als Mitgliedsserver. In diese Kategorie fallen alle Server, die keine AD-Dienste bereitstellen, etwa Datei-, Datenbank- oder Webserver.

Sicherheitsgruppen bilden, Rechte zuteilen

Benutzer- und Computerkonten werden zur gemeinsamen Verwaltung in Gruppen zusammengefasst. Rechteeinstellungen für eine bestimmte Sicherheitsgruppe gelten für alle Mitglieder dieser Gruppe, also alle zugehörigen Benutzer- und Computerkonten oder Untergruppen.

Als weiteres Strukturierungsobjekt innerhalb einer Domäne dienen Organisationseinheiten, im Englischen Organizational Units (OU). Sie sind Container, die Abteilungen, Standorte oder Teams darstellen und die dazugehörigen Objekte konsistent verwalten. Durch OUs als administrative Einheiten können Berechtigungen zum Verwalten von Objektgruppen delegiert werden. Ein Abteilungsleiter kann etwa die Rechte erhalten, Objekte innerhalb seiner Abteilungs-OU zu verwalten. Ähnlich einer Domäne lässt sich eine OU in eine Struktur unterteilen und man kann Sicherheitsrichtlinien an sie knüpfen. Da OUs verwendet werden, um Sicherheitsrichtlinien anzuwenden, kann das Speichern von Benutzern oder Computern in einer falschen OU mittelbar zur Kompromittierung der Domäne führen.

Verwaltet wird die Domäne von Administratoren mit Protokollen wie Windows Management Instrumentation (WMI), Power­Shell-Remoting (WinRM) oder dem klassischen Remote Desktop Protocol (RDP).