data codes through eyeglasses
Photo by Kevin Ku on Pexels.com
Posted inAllgemein IT

Einfache Maßnahmen für mehr Sicherheit im Active Directory: Ein umfassender Leitfaden

Die Sicherheit des Active Directory (AD) ist das Rückgrat vieler Unternehmensnetzwerke. Doch gerade hier lauern zahlreiche Gefahren, von automatisierten Schadprogrammen bis hin zu gezielten Cyberangriffen. Glücklicherweise reichen oft schon einfache organisatorische Maßnahmen in Verbindung mit kostenlosen Tools aus, um die Sicherheit deutlich zu erhöhen und Angreifern das Leben schwer zu machen. Dieser Beitrag beleuchtet grundlegende Konzepte und deren Umsetzung, um Ihr Active Directory besser zu schützen.

Einfallstore für Angreifer

Bevor wir in die Maßnahmen eintauchen, ist es wichtig zu verstehen, wie Angreifer überhaupt in ein Netzwerk gelangen. E-Mails sind das größte Einfallstor für Viren, Trojaner und Phishing-Angriffe. Auch der Browser ist ein beliebtes Ziel, da bekannte Sicherheitslücken über manipulierte Webseiten ausgenutzt werden können. Ist ein einzelner Rechner erst einmal kompromittiert, nutzen Angreifer oft „Lateral Movement“, um sich unauffällig im Netzwerk auszubreiten und weitere Systeme unter ihre Kontrolle zu bringen.

Besonders gefährlich wird es, wenn nach dem Lateral Movement „Pass the Hash (PTH)“ oder „Pass the Ticket (PTT)“ Angriffe zum Einsatz kommen. Hierbei warten Angreifer auf infizierten Clients darauf, dass sich ein privilegiertes Konto (z.B. ein Domain Administrator) anmeldet, um dessen Passwort-Hashes oder Kerberos-Tickets abzugreifen. Gelingt dies, können sich Angreifer als Domain Administrator an Servern und Domain Controllern anmelden und haben damit Zugriff auf nahezu alle Unternehmensdaten. Solche Angriffe erfordern oft kein großes Fachwissen und können sogar vollautomatisch durch Viren und Trojaner durchgeführt werden. Es ist daher entscheidend, sich nicht allein auf Virenscanner und Spamfilter zu verlassen.

Das Admin Tier Modell: Segmentierung für mehr Sicherheit

Stellen Sie sich das Admin Tier Modell wie eine Segmentierung Ihres Netzwerks vor, aber angewendet auf Ihr Active Directory. Es teilt Server, Dienste und Clients in drei Hierarchiestufen, sogenannte „Tiers“, ein:

  • Tier 0: Enthält die kritischsten Systeme, die alle anderen kontrollieren, wie beispielsweise Domain Controller. Exchange Server gehören in der Standardinstallation (ohne „Sicherheitsmodell für geteilte Berechtigungen“) ebenfalls zu Tier 0, da sie weitreichende Berechtigungen im Active Directory besitzen.
  • Tier 1: Beinhaltet Server, die Dienste für Clients anbieten, wie File Server oder Web Server. Diese sind zwar wichtig, kontrollieren aber keine anderen Server, Clients oder Dienste.
  • Tier 2: Umfasst alle Clients, also PCs, Notebooks und Drucker.

Das Ziel des Admin Tier Modells ist es, sicherzustellen, dass Systeme eines höheren Tiers Systeme niedrigerer Tiers kontrollieren dürfen, aber niemals umgekehrt. Ein Tier 1- oder Tier 2-System darf also keine Kontrolle über ein Tier 0-System erlangen („Higher Tier Control“). Dies schließt auch die Ausführung von Diensten mit Domain-Admin-Berechtigungen auf niedrigeren Tiers ein, wie z.B. eine Backup-Software, die fälschlicherweise als Domain Admin ausgeführt wird. Tier 0 sollte so klein wie möglich gehalten werden.

Zusätzlich soll das Admin Tier Modell verhindern, dass Konten, die höhere Tier-Systeme verwalten, sich auf niedrigeren Tier-Systemen anmelden können. Ein Domain-Administrator (Tier 0) darf sich also nicht auf einem Webserver (Tier 1) oder einem Client (Tier 2) anmelden („Lower Tier Logon“).

Was bewirken die Admin Tiers? Durch diese strenge Trennung von Kontroll- und Zugriffsmöglichkeiten wird verhindert, dass ein infizierter Client oder ein kompromittiertes Konto eines niedrigeren Tiers die Kontrolle über kritische Systeme höherer Tiers erlangt. Fällt einem Angreifer beispielsweise ein Konto mit Tier 2-Admin-Rechten in die Hände, kann er sich zwar innerhalb des Tier 2 bewegen, gelangt aber nur schwer an Tier 1- und Tier 0-Konten.

Einrichtung von Admin Tiers:

  1. Benutzerkonten und Gruppen: Erstellen Sie für jeden Admin Tier (Tier 0, Tier 1, Tier 2) eine neue Gruppe und mindestens ein entsprechendes Benutzerkonto. Benennen Sie sie beispielsweise Tier0Admins, Tier1Admins, Tier2Admins. Weisen Sie die Benutzer den entsprechenden Gruppen zu. Die Gruppe Tier0Admins muss Mitglied der Gruppe Domain-Admins werden. Wichtig: Ein Tier-Admin-Konto darf nicht „Tier-übergreifend“ zugeordnet werden (z.B. ein Tier 1-Admin-Konto darf nicht Mitglied der Gruppe Tier0Admins oder Tier2Admins sein).
  2. OU-Struktur: Erweitern Sie Ihre Active Directory OU-Struktur um OUs für Tier 0, Tier 1 und Tier 2, z.B. unterhalb von „Server“ und „Clients“. Es ist sinnvoll, neue Computerkonten standardmäßig in einer spezifischen OU zu erstellen, anstatt in der Standard-OU „Computers“.
  3. Gruppenrichtlinien (GPOs): Erstellen Sie GPOs, um Anmeldungen für höhere Tiers auf niedrigeren Tiers zu verweigern und lokalen Administratorrechten zuzuweisen:
    • „Standard Sicherheit Tier 1“ GPO: Verweigert Tier0Admins die Anmeldung (lokal, per Remotedesktop, als Dienst, als Batchauftrag, Netzwerkzugriff). Fügt Tier1Admins zur lokalen Gruppe „Administratoren“ hinzu.
    • „Standard Sicherheit Tier 2“ GPO: Verweigert Tier0Admins und Tier1Admins die Anmeldung (gleiche Einstellungen). Fügt Tier2Admins zur lokalen Gruppe „Administratoren“ hinzu.
    • Verknüpfen Sie die GPOs mit den entsprechenden OUs (Tier 1 GPO mit Tier 1 OUs, Tier 2 GPO mit Tier 2 OUs).
  4. Systemklassifizierung: Ordnen Sie Ihre Systeme sorgfältig den richtigen Tiers zu. Domain Controller sind Tier 0, die meisten Server Tier 1 und Clients Tier 2. Prüfen Sie auch Software und Dienste, die mit Domain-Admin-Rechten laufen, und konfigurieren Sie diese ggf. um, um Tier 0 klein zu halten.
  5. Deaktivieren des integrierten Administrator-Kontos: Nach erfolgreichen Tests sollte das eingebaute „Administrator“-Konto deaktiviert und umbenannt werden. Es ist ein primäres Ziel für Angreifer und wird für die tägliche Administration nicht benötigt.

Admin Hosts (PAWs): Der sichere Sprungpunkt

Ein Admin Host (auch Privileged Access Workstation, PAW) ist eine dedizierte Workstation, die ausschließlich für die Administration Ihrer Server und sensiblen Systeme verwendet wird. Sie wird nicht für „normale Arbeit“ wie E-Mails oder Internetsurfen genutzt und sollte keinen direkten Zugang zum Internet haben.

Das Clean-Source-Prinzip besagt, dass Sie für administrative Aufgaben stets von einer „sauberen“ und vertrauenswürdigen Quelle aus arbeiten sollten. Der Admin Host dient hier als dieser sichere Sprungpunkt, um zu verhindern, dass privilegierte Anmeldedaten (z.B. Kerberos-Tickets) auf Ihrer täglich genutzten, potenziell anfälligeren Workstation hinterlassen werden.

Einrichtung eines Admin Hosts:

  1. Saubere Installation: Installieren Sie das Betriebssystem (z.B. Windows Server 2019 oder Windows 10) von einem „sauberen Medium“, um sicherzustellen, dass keine unerwünschten Einstellungen oder Software vorhanden sind.
  2. Keine Domänenmitgliedschaft (im Beispiel): Der Admin Host wird im bereitgestellten Beispiel nicht zur Active Directory Domäne hinzugefügt. (Anmerkung: Das Microsoft PAW-Konzept sieht teils eine Domänenmitgliedschaft für GPOs und Updates vor, dies sollte je nach Unternehmensumgebung bewertet werden).
  3. Benutzerkonten: Erstellen Sie zwei lokale Benutzerkonten auf dem Admin Host: einen administrativen Benutzer (z.B. AHAdmin) und einen normalen Benutzer für die RDP-Verbindung zum Admin Host (z.B. AHUser). Verwenden Sie starke Passwörter.
  4. Sicherheitsbaselines: Wenden Sie Sicherheitsbaselines an (z.B. Microsoft Security Baseline) und deaktivieren Sie unnötige Windows-Dienste.
  5. Windows Firewall: Konfigurieren Sie die Firewall streng: Blockieren Sie zunächst alle ein- und ausgehenden Verbindungen. Erlauben Sie dann nur spezifischen, notwendigen Datenverkehr (z.B. RDP und Ping von bestimmten IPs/Subnetzen). Internetzugriff und „Any-Any-Any“-Regeln sind tabu.
  6. Nutzung: Von Ihrer normalen Workstation stellen Sie eine RDP-Verbindung zum Admin Host mit dem AHUser-Konto her. Innerhalb dieser gesicherten RDP-Sitzung auf dem Admin Host stellen Sie dann eine privilegierte RDP-Verbindung zum Zielsystem her oder führen administrative Tools aus. Es sollte nie eine RDP-Verbindung mit privilegierten Konten direkt von einer normalen Workstation aus erfolgen, da dies die Credentials auf der Workstation zwischenspeichern könnte.

LAPS: Individuelle lokale Administratoren-Passwörter

Ein weit verbreitetes Sicherheitsproblem ist die Verwendung identischer Passwörter für das lokale Administrator-Konto auf allen Clients und Servern. Das Konto „Administrator“ ist ein beliebtes Ziel für Angreifer, da es standardmäßig auf jedem Windows-System existiert und administrative Rechte besitzt. Ein identisches Passwort macht es Angreifern sehr einfach, sich nach einer Kompromittierung eines Systems lateral im Netzwerk auszubreiten.

LAPS (Local Administrator Password Solution) löst dieses Problem: LAPS generiert individuelle, sichere Passwörter für lokale Administratorkonten und ändert diese zyklisch. Die Passwörter werden sicher in Intune gespeichert und können von berechtigten Personen ausgelesen werden.

Einrichtung von LAPS

    Mittlerweile ist eine LAPS-Funktionalität direkt in Windows integriert (ab Windows 10/11 und Windows Server 2019/2022 mit entsprechenden Updates). Dies bedeutet, dass Sie keinen separaten LAPS-Client mehr auf den Geräten installieren müssen. Die Verwaltung und Konfiguration kann über Gruppenrichtlinien, aber auch nativ über Microsoft Intune oder PowerShell erfolgen. Dies vereinfacht die Bereitstellung und Verwaltung erheblich.

    Temporäre lokale Administratorrechte

    In vielen Umgebungen benötigen Anwender gelegentlich lokale Administratorberechtigungen, z.B. für die Installation eines Druckers. Dauerhafte Admin-Rechte für normale Benutzer stellen ein erhebliches Sicherheitsrisiko dar. Die Lösung besteht darin, Benutzern nur zeitlich begrenzte, temporäre Administratorrechte zu gewähren.

    Einrichtung temporärer Admin-Berechtigungen:

    1. Voraussetzungen: Das Gesamtstruktur- und Domänenfunktionslevel muss mindestens Windows Server 2016 sein. Das „Privileged Access Management Feature“ muss in der Gesamtstruktur aktiviert werden.
    2. Administratoren-Gruppen pro Computer: Für jeden Computer in Ihrem Active Directory wird eine eigene Gruppe benötigt, die lokale Admin-Rechte verwaltet (z.B. CL1_LocalAdmins für den Computer CL1). Ein PowerShell-Skript kann dies automatisieren, indem es diese Gruppen basierend auf vorhandenen Computerkonten erstellt und bei Bedarf löscht.
    3. GPO zum Hinzufügen der Admin-Gruppen: Eine Gruppenrichtlinie wird erstellt, die die computerspezifische AD-Gruppe (unter Verwendung der Variable %ComputerName%) zur lokalen „Administratoren“-Gruppe des jeweiligen Clients hinzufügt. Wichtig: Diese GPO sollte so konfiguriert werden, dass sie alle bestehenden Mitglieder der lokalen Administratorengruppe entfernt, um diese „sauber“ zu halten.
    4. Temporäre Zuweisung: Die temporäre Hinzufügung eines Benutzers zu einer dieser computerspezifischen Gruppen erfolgt über PowerShell mit dem Parameter -MemberTimeToLive (z.B. für 60 Minuten). Empfehlung: Verwenden Sie für temporäre Admin-Berechtigungen einen separaten Benutzer-Account (z.B. Frank_Admin), nicht den täglichen Benutzer-Account des Anwenders. Der Anwender kann dann bei Bedarf über die UAC-Aufforderung diesen separaten Admin-Account nutzen, ohne sich von seinem Arbeits-PC abmelden zu müssen.

    Zusammenfassung und Ausblick

    Die hier beschriebenen Maßnahmen – Admin Tiers, Admin Hosts und LAPS – sind keine Allheillösung, aber sie erhöhen die Sicherheit Ihres Active Directory erheblich. Sie machen es Angreifern deutlich schwerer, in Ihr Netzwerk einzudringen und sich auszubreiten. Regelmäßige Updates für alle Software und Betriebssysteme sind ebenfalls von größter Bedeutung, da automatisierte Angriffe oft auf bekannte Sicherheitslücken abzielen.

    Durch die konsequente Umsetzung dieser Konzepte sind Sie auf einem guten Weg, Ihr Active Directory widerstandsfähiger gegen moderne Cyberbedrohungen zu machen. Es geht darum, Angreifern nicht die „Kronjuwelen des Unternehmens“ auf dem Silbertablett zu servieren.