Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Top-Strategien zur Absicherung Ihrer Active Directory-Infrastruktur

Top-Strategien zur Absicherung Ihrer Active Directory-Infrastruktur

Apr 28, 2023

Microsoft Active Directory (AD) ist der zentrale Anmeldeinformationsspeicher für 90% der Organisationen weltweit. Als Torwächter zu Geschäftsanwendungen und Daten ist es nicht nur überall, es ist alles! Die Verwaltung von AD ist eine nie endende Aufgabe und es noch sicherer zu machen, ist noch schwieriger. Bei Netwrix sprechen wir mit vielen Kunden, die unsere Tools verwenden, um AD zu verwalten und zu sichern, und im Laufe der Jahre haben sich wichtige Strategien zur Verbesserung der Sicherheit und zur Abhärtung von AD gegen Angriffe herauskristallisiert. Hier sind 10 Active Directory-Sicherheits-Härtungstipps, die Sie in Ihrer Umgebung anwenden können:

Ausgewählte verwandte Inhalte:

Tipp #1: Bereinigen Sie veraltete Objekte.

Active Directory enthält Tausende von Elementen und viele bewegliche Teile zum Schutz. Eine grundlegende Methode zur Erhöhung der Sicherheit besteht darin, Unordnung zu verringern, indem nicht verwendete Benutzer, Gruppen und Maschinen entfernt werden. Veraltete AD-Objekte können von Angreifern missbraucht werden, daher reduziert deren Löschung Ihre Angriffsfläche.

Sie finden möglicherweise auch selten genutzte Elemente. Verwenden Sie HR-Daten und arbeiten Sie mit Geschäftsinteressenten zusammen, um deren Status zu bestimmen; zum Beispiel bei Benutzerkonten, ermitteln Sie den Manager des Benutzers. Obwohl dies Zeit kostet, werden Sie es zu schätzen wissen, dies während Ihrer nächsten Prüfung oder Compliance-Überprüfung erledigt zu haben.

Tipp #2: Machen Sie es den Benutzern leicht, sichere Passwörter zu wählen.

Um zu verhindern, dass Gegner Benutzeranmeldeinformationen kompromittieren, um in Ihr Netzwerk einzudringen und sich seitwärts zu bewegen, müssen Passwörter schwer zu knacken sein. Aber Benutzer können sich einfach nicht mehrere komplexe Passwörter merken und verwalten, also greifen sie auf Praktiken zurück, die die Sicherheit schwächen, wie das Aufschreiben ihrer Passwörter auf Haftnotizen oder einfach das Hochzählen einer Zahl am Ende, wenn sie diese ändern müssen. Das führte dazu, dass Sicherheitsexperten ihre Empfehlungen bezüglich Passwortkomplexität und -zurücksetzungen abschwächten.

Allerdings können Sie mit einer Unternehmenslösung für password management das Erstellen einzigartiger und hochsicherer Passwörter für Benutzer vereinfachen und deren Verwaltung effektiv gestalten, sodass Sie nicht auf strenge Passwortanforderungen verzichten müssen. Ein Benutzer muss sich nur ein starkes Passwort merken, und das Tool verwaltet alle anderen für ihn.

Tipp #3: Erlauben Sie den Mitarbeitern nicht, Admin-Privilegien auf ihren Arbeitsstationen zu haben.

Wenn ein Angreifer die Kontrolle über ein Benutzerkonto erlangt (was wir alle wissen, dass es ziemlich oft passiert), ist der nächste Schritt oft, Hacking-Software auf der Arbeitsstation des Benutzers zu installieren, um ihnen zu helfen, sich seitwärts zu bewegen und andere Konten zu übernehmen. Wenn das kompromittierte Konto lokale Adminrechte hat, ist diese Aufgabe einfach.

Aber die meisten Geschäftsanwender müssen tatsächlich nicht sehr oft Software installieren oder Einstellungen ändern, daher können Sie Ihr Risiko verringern, indem Sie ihnen keine Admin-Berechtigungen geben. Wenn sie eine zusätzliche Anwendung benötigen, können sie den Helpdesk bitten, diese zu installieren. Vergessen Sie nicht, use Microsoft LAPS um sicherzustellen, dass alle verbleibenden lokalen Admin-Konten starke Passwörter haben und diese regelmäßig ändern.

Tipp #4: Sichern Sie Servicekonten ab.

Dienstkonten werden von Anwendungen verwendet, um sich bei AD zu authentifizieren. Sie werden häufig von Angreifern ins Visier genommen, da sie selten überwacht werden, erweiterte Berechtigungen besitzen und typischerweise Passwörter haben, die kein Ablaufdatum aufweisen. Dementsprechend sollten Sie Ihre Dienstkonten genau betrachten und deren Berechtigungen so weit wie möglich einschränken. Manchmal sind Dienstkonten Mitglieder der Gruppe der Domain-Admins, benötigen aber normalerweise nicht all diesen Zugriff, um zu funktionieren — es könnte notwendig sein, sich mit dem Anbieter der Anwendung in Verbindung zu setzen, um die genau benötigten Privilegien herauszufinden.

Es ist auch wichtig, die Passwörter von Dienstkonten regelmäßig zu ändern, um es Angreifern noch schwerer zu machen, sie auszunutzen. Dies manuell zu tun, ist schwierig, daher sollten Sie die Verwendung der Funktion group managed service account (gMSA) in Betracht ziehen, die mit Windows Server 2016 eingeführt wurde. Wenn Sie gMSAs verwenden, wird das Betriebssystem automatisch die Passwortverwaltung für Sie übernehmen.

Tipp #5: Beseitigen Sie dauerhafte Mitgliedschaften in Sicherheitsgruppen.

Die Sicherheitsgruppen Enterprise Admin, Schema Admin und Domain Admin sind die Kronjuwelen von Active Directory, und Angreifer werden alles tun, um Mitgliedschaft in ihnen zu erlangen. Wenn Ihre Administratoren eine dauerhafte Mitgliedschaft in diesen Gruppen haben, wird ein Angreifer, der eines ihrer Konten kompromittiert, dauerhaften erweiterten Zugriff in Ihrer Domäne haben.

Um dieses Risiko zu verringern, beschränken Sie die Mitgliedschaft in all diesen hochprivilegierten Gruppen streng und machen Sie darüber hinaus die Mitgliedschaft temporär. Die Gruppen Enterprise Admin und Schema Admin werden nicht häufig verwendet, daher wird dies kein Problem darstellen. Domain Admin wird viel öfter benötigt, daher muss ein System für die Gewährung einer temporären Mitgliedschaft eingerichtet werden.

Tipp #6: Eliminieren Sie erhöhte Berechtigungen, wo immer es möglich ist.

Es gibt drei ziemlich häufige Berechtigungen, die Angreifer benötigen, um Angriffe gegen AD auszuführen: Passwort zurücksetzen, Gruppenmitgliedschaft ändern und Replikation. Diese Berechtigungen sind schwerer zu sichern, da sie im täglichen Betrieb so häufig verwendet werden.

Daher sollten Sie alle Änderungen an Sicherheitsgruppenberechtigungen oder Mitgliedschaften überwachen, die diese Rechte zusätzlichen Benutzern gewähren würden. Noch besser ist es, eine Privileged Access Management (PAM) solution zu implementieren, die eine zeitlich begrenzte Bereitstellung dieser Privilegien ermöglicht.

Tipp #7: Implementieren Sie die Multifaktor-Authentifizierung (MFA)

MFA fügt eine zusätzliche Sicherheitsebene hinzu, indem es von Benutzern verlangt, ihre Identität zu verifizieren, indem sie mindestens zwei der folgenden Authentifizierungsfaktoren bereitstellen:

  • Etwas, das sie kennen, wie ein Passwort, eine PIN oder die Antwort auf eine Sicherheitsfrage
  • Etwas, das sie besitzen, wie einen Code von einem physischen Token oder einer Smartcard
  • Etwas, das sie sind, was biometrische Merkmale wie einen Fingerabdruck, Iris- oder Gesichtsscan bedeutet

Tipp #8: Überwachen Sie Ihr Active Directory genau.

Es ist wichtig, Active Directory sowohl auf nicht sichere Einstellungen als auch auf verdächtige Aktivitäten zu überprüfen. Insbesondere sollten Sie regelmäßig eine Risikobewertung durchführen, um Sicherheitslücken zu schließen, anomale Benutzeraktivitäten zu überwachen und umgehend Konfigurationsabweichungen in kritischen Systemdateien zu identifizieren. Es ist ideal, in Tools zu investieren, die Sie automatisch über verdächtige Ereignisse informieren und sogar automatisch reagieren, um Bedrohungen zu blockieren.

Tipp #9: Sichern Sie DNS.

Die Sicherung von DNS kann Ihnen helfen, eine Vielzahl von Angriffen zu blockieren, einschließlich Domain-Hijacking und DNS-Spoofing. Zu den Maßnahmen gehören die Implementierung von DNSSEC, die Verwendung eines sicheren DNS-Servers und die regelmäßige Überprüfung der DNS-Einstellungen.

Tipp #10: Sichern Sie regelmäßig Active Directory.

Das Vorhandensein eines aktuellen Backups Ihres Active Directory ist entscheidend für die Wiederherstellung nach Cyber-Vorfällen, einschließlich Ransomware-Angriffen und Naturkatastrophen. Backups sollten sicher gespeichert, regelmäßig getestet und leicht zugänglich sein, um sicherzustellen, dass Ihre wichtigen AD-Einstellungen wiederherstellbar sind im Falle einer Katastrophe.

Fazit

Active Directory ist ein erstaunliches System zur Zugriffskontrolle. Es ist jedoch nur sicher, wenn es sauber, verstanden, richtig konfiguriert, genau überwacht und streng kontrolliert wird. Diese Tipps sind praktische Methoden, mit denen Sie die Sicherheit verstärken und Ihr Active Directory härten können.

Häufig gestellte Fragen

Was ist Hardening im Active Directory?

Das Härten in Active Directory ist der Prozess des Sicherns und Stärkens des Verzeichnisdienstes, um das Risiko von data breaches und Ausfallzeiten zu verringern. Es beinhaltet die Kontrolle des Zugriffs auf sensible Daten, das Entfernen unnötiger Objekte, die Durchsetzung von password policies und die Überwachung auf verdächtige Aktivitäten.

Was ist die Absicherung von Domain-Controllern?

Das Härten von Domain-Controllern ist der Prozess, die Server, auf denen Active Directory läuft, zu stärken, um das Risiko von unbefugtem Zugriff, Datenverletzungen und Dienstunterbrechungen zu verringern. Es umfasst das Deaktivieren überflüssiger Dienste, das Bereitstellen von Sicherheitspatches und Updates, das Einrichten von Firewall-Regeln und das Durchsetzen starker Passwortpraktiken.

Was passiert, wenn ein Domain-Controller kompromittiert wird?

Ein Angreifer, der einen Domain-Controller kompromittiert, kann erheblichen Schaden anrichten, von Zugriff auf sensible Daten bis hin zum Erstellen, Modifizieren und Löschen von Benutzerkonten und anderen kritischen AD-Objekten.

Wie sichere ich Active Directory?

Die Sicherung von Active Directory ist ein fortlaufender Prozess, der mehrere Ebenen von Sicherheitskontrollen umfasst. Insbesondere müssen Organisationen starke Passwortrichtlinien umsetzen, den Benutzerzugriff einschränken, auf verdächtige Aktivitäten achten, Maschinen gepatcht und aktualisiert halten, Domain-Controller sichern, Multifaktorauthentifizierung (MFA) für zusätzliche Sicherheit verwenden und Mitarbeiter über die besten Praktiken der Cybersicherheit und potenzielle Bedrohungen aufklären.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Joe Dibley

Sicherheitsforscher

Security Researcher bei Netwrix und Mitglied des Netwrix Security Research Teams. Joe ist ein Experte für Active Directory, Windows und eine Vielzahl von Unternehmenssoftwareplattformen und -technologien. Joe erforscht neue Sicherheitsrisiken, komplexe Angriffstechniken sowie zugehörige Milderungs- und Erkennungsmaßnahmen.

Erfahren Sie mehr zu diesem Thema

Erstellen Sie AD-Benutzer in Massen und senden Sie deren Anmeldeinformationen per E-Mail mit PowerShell

Wie man Passwörter mit PowerShell erstellt, ändert und testet

So fügen Sie AD-Gruppen hinzu und entfernen Objekte in Gruppen mit PowerShell

Vertrauensstellungen in Active Directory

Ransomware-Angriffe auf Active Directory

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen