Festlegen von Anforderungen zum Härten von Active Directory Domain Services (AD DS)
In der folgenden Tabelle finden Sie eine Zusammenfassung der Empfehlungen zum Schutz einer AD DS-Installation, die in diesem Dokument bereitgestellt werden. Einige empfohlene Methoden sind strategischer Art und erfordern umfassende Planungs- und Implementierungsprojekte; andere sind eher taktisch und konzentrieren sich auf bestimmte Komponenten von Active Directory und der zugehörigen Infrastruktur.
Die Methoden werden in der ungefähren Reihenfolge ihrer Priorität aufgeführt, niedrigere Zahlen bedeuten also höhere Priorität. Sofern zutreffend, werden empfohlene Methoden als präventiv oder ermittlungsbasiert gekennzeichnet. Alle diese Empfehlungen sollten gründlich getestet und bei Bedarf entsprechend den Merkmalen und Anforderungen Ihrer Organisation geändert werden.
| Bewährte Methode | Taktisch oder strategisch | Präventiv oder ermittlungsbasiert |
|---|---|---|
| Patchen Sie Anwendungen. | Taktisch | Vorbeugend |
| Patchen Sie Betriebssysteme. | Taktisch | Vorbeugend |
| Stellen Sie Antiviren- und Antischadsoftware auf allen Systemen bereit, führen Sie Updates möglichst sofort durch, und überwachen Sie die Software auf Versuche, sie zu entfernen oder zu deaktivieren. | Taktisch | Beide |
| Überwachen Sie vertrauliche Active Directory-Objekte auf Änderungsversuche und Ihre Windows-Systeme auf Ereignisse, die auf Kompromittierungsversuche hinweisen können. | Taktisch | Ermittelnd |
| Schützen und überwachen Sie Konten von Benutzern, die Zugriff auf vertrauliche Daten haben. | Taktisch | Beide |
| Verhindern Sie die Verwendung von Konten mit hohen Berechtigungen auf nicht autorisierten Systemen. | Taktisch | Vorbeugend |
| Eliminieren Sie dauerhafte Mitgliedschaften in Gruppen mit hohen Berechtigungen. | Taktisch | Vorbeugend |
| Implementieren Sie Kontrollmechanismen, um bei Bedarf temporäre Mitgliedschaften in privilegierten Gruppen zu gewähren. | Taktisch | Vorbeugend |
| Implementieren Sie sichere Verwaltungshosts. | Taktisch | Vorbeugend |
| Verwenden Sie Zulassungslisten für Anwendungen auf Domänencontrollern, Verwaltungshosts und anderen vertraulichen Systemen. | Taktisch | Vorbeugend |
| Identifizieren Sie kritische Ressourcen, und priorisieren Sie deren Sicherheit und Überwachung. | Taktisch | Beide |
| Implementieren Sie die rollenbasierte Zugriffssteuerung mit geringsten Rechten für die Verwaltung des Verzeichnisses, der unterstützenden Infrastruktur und der in die Domäne eingebundenen Systeme. | Strategisch | Vorbeugend |
| Isolieren Sie Legacysysteme und -anwendungen. | Taktisch | Vorbeugend |
| Setzen Sie Legacysysteme und -anwendungen außer Betrieb. | Strategisch | Vorbeugend |
| Implementieren Sie sichere Programme für den Entwicklungslebenszyklus benutzerdefinierter Anwendungen. | Strategisch | Vorbeugend |
| Implementieren Sie eine Konfigurationsverwaltung, überprüfen Sie regelmäßig die Compliance und bewerten Sie die Einstellungen bei jeder neuen Hardware- oder Softwareversion. | Strategisch | Vorbeugend |
| Migrieren Sie kritische Ressourcen zu unveränderten Gesamtstrukturen mit strikten Sicherheits- und Überwachungsanforderungen. | Strategisch | Beide |
| Vereinfachen Sie die Sicherheit für Endbenutzer. | Strategisch | Vorbeugend |
| Verwenden Sie hostbasierte Firewalls zum Steuern und Sichern der Kommunikation. | Taktisch | Vorbeugend |
| Patchen Sie Geräte. | Taktisch | Vorbeugend |
| Implementieren Sie eine geschäftsorientierte Lebenszyklusverwaltung für IT-Ressourcen. | Strategisch | – |
| Erstellen oder aktualisieren Sie Pläne zur Wiederherstellung nach Incidents. | Strategisch | N/V |
Reduzieren der Angriffsfläche für Active Directory
In diesem Abschnitt geht es um technische Kontrollmechanismen, mit denen sich die Angriffsfläche einer Active Directory-Installation verringern lässt. Dieser Abschnitt umfasst folgende Themen:
Im Abschnitt Privilegierte Konten und Gruppen in Active Directory werden die Konten und Gruppen mit den höchsten Berechtigungen in Active Directory sowie die Mechanismen erläutert, mit denen privilegierte Konten geschützt werden. In Active Directory verfügen drei integrierte Gruppen über die höchsten Berechtigungen im Verzeichnis: Organisations-Admins, Domänen-Admins und Administratoren. Allerdings gibt es eine Reihe weiterer Gruppen und Konten, die ebenfalls geschützt werden sollten.
Im Abschnitt Implementierung von Verwaltungsmodellen mit geringsten Rechten geht es um die Identifizierung des Risikos, das die Verwendung von Konten mit hohen Berechtigungen für die tägliche Verwaltung darstellt. Darüber hinaus enthält der Abschnitt Empfehlungen zur Verringerung dieses Risikos.
In kompromittierten Umgebungen sind übermäßige Berechtigungen nicht auf Active Directory beschränkt. Wenn es in einer Organisation zur Gewohnheit geworden ist, mehr Berechtigungen zu gewähren als erforderlich, zieht sich dies in der Regel durch die gesamte Infrastruktur:
In Active Directory
Auf Mitgliedsservern
Auf Arbeitsstationen
In Anwendungen
In Datenrepositorys
Im Abschnitt Implementieren von sicheren Verwaltungshosts werden sichere Verwaltungshosts beschrieben. Dabei handelt es sich um Computer, die zur Unterstützung der Verwaltung von Active Directory und verbundenen Systemen konfiguriert sind. Diese Verwaltungshosts sind speziell für Verwaltungsfunktionen vorgesehen und führen keine Software wie E-Mail-Anwendungen, Webbrowser oder Produktivitätssoftware (wie z. B. Microsoft Office) aus.
Dieser Abschnitt umfasst Folgendes:
Prinzipien zum Erstellen sicherer Verwaltungshosts: Folgende allgemeine Prinzipien sollten berücksichtigt werden:
- Verwalten Sie niemals ein vertrauenswürdiges System von einem weniger vertrauenswürdigen Host.
- Verlassen Sie sich bei der Ausführung privilegierter Aktivitäten nicht auf einen einzelnen Authentifizierungsfaktor.
- Vergessen Sie beim Entwerfen und Implementieren sicherer Verwaltungshosts nicht die physische Sicherheit.
Schützen von Domänencontrollern vor Angriffen: Wenn ein böswilliger Benutzer sich privilegierten Zugriff auf einen Domänencontroller verschafft, kann dieser Benutzer die Active Directory-Datenbank ändern, beschädigen und zerstören – und damit auch alle Systeme und Konten, die von Active Directory verwaltet werden.
Dieser Abschnitt umfasst folgende Themen:
Physische Sicherheit für Domänencontroller: Enthält Empfehlungen in Bezug auf die physische Sicherheit von Domänencontrollern in Rechenzentren, Zweigstellen und Remotestandorten.
Domänencontroller-Betriebssysteme: Enthält Empfehlungen zum Sichern des Betriebssystems von Domänencontrollern.
Sichere Konfiguration von Domänencontrollern: Mithilfe nativer und frei verfügbarer Konfigurationstools und -einstellungen lassen sich sicherheitsbezogene Konfigurationsbaselines für Domänencontroller erstellen, die später von Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) erzwungen werden können.