USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

Active Directory

Ein jüngst von Skyport Systems veröffentlichter Bericht zeigt, dass ein Missmanagement von Microsoft Active Directory (AD) gravierende Folgen haben kann. Bis zu 90 % der potenziell auftretenden Datenschutzverletzungen lassen sich auf Fehler bei der AD-Verwaltung zurückführen.

Gleichzeitig geht die Hälfte der Befragten (50 %) fälschlicherweise davon aus, dass ihre AD-Umgebung sicher ist. Untersuchungen, die bei One Identity durchgeführt wurde, bestätigen diese Ergebnisse ebenso wie die jahrelange Erfahrung darin, Unternehmen bei der Absicherung und optimierten Verwaltung von AD zu unterstützen. Worin aber bestehen die Gefahren genau und woran liegt es, dass Firmen sie so häufig unterschätzen?

AD gibt es in jedem Unternehmen. Die große Mehrzahl nutzt Microsofts Verzeichnisdienst im Zentrum des Unternehmens. Dazu kommt eine steigende Zahl von Anwendern, die sich zusätzlich für die cloudbasierte Variante, Azure Active Directory (AAD), entscheiden. Das zwingt Firmen dazu, eine hybride AD-Umgebung aufrechtzuerhalten, in der on-premises AD und das cloudbasierte AAD miteinander koexistieren – müssen. Wenn wir im Verlauf dieses Textes von „AD“ sprechen beziehen wir uns immer auf hybride Umgebungen, die sowohl AD als auch AAD einschließen.

Die weite Verbreitung von AD und seine entscheidende Rolle bei der Kontrolle des Benutzerzugriffs, machen den Verzeichnisdienst für Hacker zu einem besonders attraktiven Ziel. Das allein erklärt allerdings noch nicht die fundamentalen Schwächen mit denen Unternehmen es zu tun haben.

Dazu sollte man sich einige der Gründe näher ansehen, warum und wie AD zu einer Quelle zusätzlicher Risiken werden kann:

  • Die Verwaltung von Active Directory-Umgebungen ist umständlich und fehleranfällig. Für jede IT-Abteilung ist das Aufsetzen und Verwalten von Benutzerkonten über deren gesamten Lebenszyklus hinweg langwierig und mühsam, wenn man ausschließlich auf die nativen Tools angewiesen ist, die AD mitbringt. Erschwert von der Tatsache, dass AAD vollkommen unterschiedliche Verwaltungswerkzeuge nutzt, verglichen mit der on-premises-AD-Umgebung. Das betrifft ebenso unterschiedliche Tools und Prozesse für die Verbindung mit weitverbreiteten Systemen wie Outlook und SharePoint, so dass die gesamte AD-Verwaltung anfällig für Sicherheitslücken ist.
     
  • Keine eindeutigen Verantwortlichkeiten für Aktionen im AD. AD-Admins, die sich mit diesen Verwaltungsaufgaben herumschlagen, teilen sich typischerweise ein AD-Administrationskonto mit allumfassenden Berechtigungen. Das führt zwangläufig zu einem Mangel an individueller Verantwortlichkeit und dem Verzicht auf ein Least-Privilege-Konzept bei Vergeben der Zugriffsberechtigungen.
     
  • Eine sorgfältige IAM-Wartung ist erforderlich. Mit dem Identity-and-Access-Management (IAM) sind verschiedene AD-Aktivitäten verknüpft. Dazu gehören die Verwaltung und das Zurücksetzen von Passwörtern, Authentifizierung und Single-Sign-On. Die AD-Verwaltung und die damit verbundenen Sicherheitsmaßnahmen auf andere nicht Windows-basierte Systeme auszuweiten ist so gut wie unmöglich, wenn man sich allein auf AD verlässt. Seit AD im Jahr 2000 erstmals auf den Markt kam, haben viele Firmen dieselbe Plattform über all die Jahre beibehalten und eine überhöhte Zahl von Benutzern angehäuft, die alle auf das Netzwerk zugreifen können. Die Folge: die Konten werden nur sehr eingeschränkt verwaltet und gewartet.

Trotz des alltäglichen Missmanagements und den daraus resultierenden Sicherheitslücken, wird uns AD noch lange erhalten bleiben. Für Firmen ist es also ratsam, die Sicherheit in ihren AD-Umgebungen zu verbessern, Risiken zu minimieren und das bestmögliche aus ihren Investitionen herauszuholen. Dazu sollten sie vier grundlegende Empfehlungen beherzigen:

1. AD-Verwaltung mit den richtigen Tools automatisieren.

Eine automatisierte AD-Verwaltung mit den richtigen Tools sorgt für in sich konsistente Workflows und verschafft mehr Kontrolle über die notwendigen Verwaltungsaufgaben innerhalb des gesamten Lebenszyklus. Viele Firmen, die solche Lösungen einsetzen, profitieren unter anderem von Funktionen wie dem automatischen Erstellen von Konten und einer sicheren Zugriffskontrolle. Die Zeit für die Provisionierung in AD und AAD und den mit ihnen verbundenen Systemen konnten diese Unternehmen von Stunden oder Tagen auf nur noch Minuten reduzieren. Und sie konnten menschliche Fehler und Inkonsistenzen beseitigen, für die manuelle Prozesse und native Tools naturgemäß besonders anfällig sind.

2. Verwalten Sie Ihre AD-Administratoren.

Das Konto zur AD-Administration teilen sich gemeinhin verschiedene Administratoren. Es ist ein übermächtiges Konto und es ist anonym. Im Grunde ist allein das schon die Garantie für ein Sicherheitsdesaster. Der beste Ansatz diesen hochprivilegierten Zugriff abzusichern ist ein Least-Privilege-Modell für Administratoren. Anstatt, dass alle Administratoren diese übermächtigen Anmeldeinformationen teilen, erhält jeder von ihnen genau die Zugriffsberechtigungen, die er braucht um seine Aufgaben zu erfüllen. Nicht mehr und nicht weniger. Jetzt ist jede Aktivität, die von einem der Administratoren ausgeht, an seine individuelle Verantwortlichkeit gekoppelt. Und Hacker haben ein lukratives Ziel weniger.

3. AD-Risiken analysieren.

Wie schon erwähnt ist es eines der größten Risiken in Active Directory, wenn ein legitimer Benutzer über mehr Rechte verfügt als er eigentlich benötigt. Es gibt inzwischen Technologien, die in der Lage sind Berechtigungen und die damit verbundenen Aktionsmöglichkeiten von Benutzern oder Administratoren in AD zu evaluieren. Bei übermäßigen Berechtigungen, einem erhöhten Risiko, schlägt das System Alarm, und man kann sofort geeignete Maßnahmen ergreifen.

4. Machen Sie AD zu einem Teil Ihres IAM-Programms.

AD bringt zahlreiche Sicherheitsimplikationen mit sich und hat zugleich eine exponierte Stellung innerhalb der Unternehmens-IT. Niemand kann es sich leisten AD wie einfach „noch ein System mehr“ zu behandeln. Einige der erfolgreichsten IAM-Programme stützen sich soweit wie möglich auf die bestehende AD-Infrastruktur und dehnen sie auf so viele Nicht-Windows-Systeme aus wie sie können. Zudem lassen sich die Vorteile von AAD und Cloud-Funktionalitäten nutzen, wenn das betreffende IAM-Programm mit den Herausforderungen der digitalen Transformation Schritt halten muss.

Die Risiken, die mit einem Missmanagement von Active Directory und Azure AD einhergehen, sind real. Und sie werden nur weiter steigen, wenn diese kritischen Systeme innerhalb der Unternehmensumgebung noch wichtiger werden.

Allerdings tragen die beschriebenen Empfehlungen und Technologien ganz erheblich dazu bei, den Erfolg der IT zu gewährleisten und gleichzeitig Sicherheit und Compliance zu stärken. Eine automatisierte Verwaltung der Konten in AD, delegierte Zugriffsberechtigungen auch für Admin-Konten, die Analyse der Berechtigungen hinsichtlich auftretender Anomalien und schließlich ein vorgelagertes IAM-Programm für eine erfolgreiche AD-Nutzung sind vergleichsweise einfach zu realisieren und dennoch enorm wirkungsvoll.

Susanne Haase, One Identity

www.oneidentity.com
 

GRID LIST
Flugzeug

Transavia hebt ab mit One Identity

Niederländische Fluggesellschaft reduziert Provisionierungsaufwand für saisonal…
Identity

IAM löst Digitalisierungsprobleme von Finanzdienstleistern

Finanzdienstleister haben es nicht leicht, in der schnellen Welt der digitalisierten…
Wolke mit Ampelsystem

Datenschutz und Kundenerlebnis im Einklang

Im Zeitalter des digitalen Wandels müssen Unternehmen das Gleichgewicht zwischen der…
IAM CONNECT 2018

IAM CONNECT 2018: Mit sicheren Identitäten fit für die Zukunft

Die Konferenz IAM CONNECT 2018 bringt Akteure und Entscheider im Umfeld des Identity- und…
Tb W190 H80 Crop Int 8998ff6628ec848acf550ef460c57118

Diebstahl von Zugangsdaten bleibt größtes Sicherheitsrisiko

Bereits im vergangenen Jahr waren die meisten „erfolgreichen“ Cyber-Attacken auf die…
Tb W190 H80 Crop Int 3878ef822fe9c2e1dd6bf90af194e8bb

Die Identity-Trends: Biometrie, Blockchain und Co.

Ob Equifax, Dropbox oder WannaCry – Das Jahr 2017 bleibt vielen durch groß angelegte…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security