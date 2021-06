AD-Härtungsmaßnahmen jenseits von Group Policies Mehr ist mehr Marco Wohler Viele Einzelmaßnahmen verbessern zusammen die Sicherheit des Active Directory deutlich. Ein Angriff auf die eigene IT zeigt, wo es noch Schwächen gibt.

iX-tract Viele einzelne Härtungsmaßnahmen entwickeln ihr volles Potenzial nur in Kombination mit anderen Maßnahmen.

Besonders privilegierte Benutzer wie Domänenadmins müssen geschützt werden. Das setzt bei den Systemverwaltern und Supportmitarbeitern ein Verständnis für die Maßnahmen voraus.

Es lohnt sich, sich selbst einmal anzugreifen, da dies zu „Aha-Erlebnissen“ führt und man dabei die Sicht eines Angreifers einnehmen kann, der nur eine einzelne Lücke finden muss.

Der vorliegende Teil der Active-Directory-Reihe setzt die Härtungsmaßnahmen des vorangegangenen Artikels fort. Konnte man dort schon mit regelmäßigen Updates, einer guten Passwort-Policy und den richtigen Gruppenrichtlinien, also mit relativ wenig Aufwand, ein gutes Maß an Sicherheit erzielen, so geben die nun vorgestellten Maßnahmen den letzten Schliff. Das Augenmerk gilt nun dem Schutz der Zugangsdaten und wei­te­ren Maßnahmen wie dem gezielten Einsatz von Firewalls.

Der Artikel zeigt auch, wie man sich mit Angriffswerkzeugen und anderen Tools selbst auditieren kann. Bei der Absicherung eines komplexen Gebildes wie des Active Directory ist es wichtig, die Zusammenhänge zwischen den verschiedenen Funktionen, Protokollen und Maßnahmen zu sehen. Ein Angriff auf die eigene Infrastruktur kann dabei helfen, Lücken aufzuzeigen und die Kenntnisse über die Infrastruktur zu erweitern. Wo nötig, wurden für Interessierte Hinweise zu externen Ressourcen genannt, die zur Vertiefung der Themen genutzt werden können (sie sind über ix.de/zqqa zu finden). Die Kenntnis der vorangegangenen Artikel [1–8] und die Vermeidung der dort geschilderten Fehlkonfigurationen und Nachlässigkeiten wird vorausgesetzt.