Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBewährte Verfahren
Best Practices für die Active Directory Security

Best Practices für die Active Directory Security

Der Schutz von Active Directory (AD) ist ein kritischer Schwerpunkt für Sicherheitsteams aufgrund seiner zentralen Rolle in zahlreichen anfälligen Funktionen, einschließlich Authentifizierung, Autorisierung und Netzwerkzugriff. Jedes Mal, wenn Benutzer, Anwendungen, Dienste und IoT-Geräte auf Unternehmenssysteme zugreifen, verlassen sie sich auf Active Directory.

Bei einem kürzlichen Sicherheitsvorfall erlitt die Identity Management-Plattform Okta einen Eindringling in ihr Kundensupportsystem, wodurch sensible Daten wie die Namen und E-Mail-Adressen aller Benutzer offengelegt wurden. Dieses Ereignis weckt Bedenken hinsichtlich potenzieller Sicherheitsanfälligkeiten, die ausgenutzt werden könnten, um Benutzerauthentifizierung und Zugangskontrollen zu manipulieren oder zu kompromittieren. Organisationen, die auf Okta für eine nahtlose Integration mit Active Directory angewiesen sind, könnten Herausforderungen bei der Aufrechterhaltung der Sicherheit ihrer AD-Umgebung begegnen, da kompromittierte Anmeldeinformationen oder Authentifizierungsmechanismen potenziell genutzt werden könnten, um auf AD-Ressourcen zuzugreifen.

Angreifer nutzen Schwachstellen in der AD-Sicherheit nicht nur, um Zugang zu einem Netzwerk zu erhalten, sondern auch, um ihre Privilegien zu erhöhen, sich seitlich zwischen Endpunkten und anderen Systemen zu bewegen, Malware zu platzieren und mehr.

Um Angreifer auf jeder Stufe zu vereiteln, nutzen Sie die folgende Active Directory Security Best Practices-Checkliste.

Sichern Sie Ihre Domain-Controller

Ein Domain-Controller (DC) ist ein Server, der Benutzer authentifiziert, indem er ihre Anmeldeinformationen mit gespeicherten Daten abgleicht und Anfragen zum Zugriff auf verschiedene IT-Ressourcen autorisiert (oder verweigert). Diese Funktionalität macht DCs zu einem primären Ziel für Cyberkriminelle.

Best Practices für die Sicherung von Active Directory-Domänencontrollern umfassen Folgendes:

Bereitstellung

  • Stellen Sie mindestens zwei Domain-Controller in jeder Active Directory-Domäne für Fehlertoleranz und hohe Verfügbarkeit bereit.
  • Erwägen Sie den Einsatz von schreibgeschützten DCs in Zweigstellen oder anderen Standorten mit begrenzter Verbindung zum Hauptdatenzentrum, um Sicherheit und Leistung zu verbessern.
  • Platzieren Sie Domain-Controller an verschiedenen physischen Standorten, um sicherzustellen, dass sie nicht alle von einem einzigen Ausfallpunkt betroffen sind, wie zum Beispiel einem Stromausfall oder einer Naturkatastrophe.

Zugriffs- und Verkehrskontrolle

  • Beschränken Sie den physischen Zugang zu DCs mit Maßnahmen wie abgeschlossenen Serverräumen und Zugangskontrollsystemen.
  • Verwenden Sie Netzwerksegmentierung, um DCs von anderen Teilen des Netzwerks zu isolieren und den Zugriff nur auf autorisierte Systeme und Administratoren zu beschränken.
  • Implementieren Sie Firewalls, um den ein- und ausgehenden Verkehr zu DCs zu beschränken und nur die notwendige Kommunikation zwischen DCs und anderen Netzwerkressourcen zu erlauben.
  • Isolieren Sie DCs vom Internet, indem Sie Firewalls und Router so konfigurieren, dass ausgehender Verkehr von DCs zum Internet blockiert wird. Wenn ein Domänencontroller Internetzugang benötigt, verwenden Sie einen Proxyserver, um den Zugriff zu steuern; konfigurieren Sie den Proxyserver so, dass nur notwendiger Verkehr erlaubt ist und aller anderer Verkehr blockiert wird, und implementieren Sie DNS-Filterung, um die Kommunikation mit bekannten bösartigen Domänen zu verhindern.

Konfiguration und Aktualisierungen

  • Standardisieren Sie die DC-Konfiguration. Verwenden Sie beispielsweise Build-Automatisierung durch Deployment-Tools wie System Center Configuration Manager.
  • Installieren Sie keine zusätzlichen Serverrollen oder Software auf DCs, da dies zu Ressourcenkonflikten, Instabilität und Leistungsabfall führen kann. Wenn zusätzliche Software oder Serverrollen erforderlich sind, setzen Sie separate Mitgliedsserver oder Anwendungsserver ein, um Anwendungen auszuführen oder zusätzliche Dienste zu hosten.
  • Aktualisieren Sie regelmäßig DCs mit den neuesten Sicherheitspatches und Updates, um sich vor Sicherheitsanfälligkeiten zu schützen.
  • Aktualisieren Sie regelmäßig die Betriebssysteme Ihrer DCs. Planen und testen Sie jedoch den Upgrade-Prozess gründlich in einer Nicht-Produktionsumgebung, um potenzielle Probleme zu identifizieren und zu mildern.

Überwachung und Wiederherstellung

  • Verwenden Sie Monitoring-Tools, um die Leistung der DCs zu überwachen und sicherzustellen, dass sie optimal funktionieren.
  • Sichern Sie regelmäßig die Daten auf den Domänencontrollern, um eine Wiederherstellung im Falle eines Hardwareausfalls oder anderer Probleme zu ermöglichen.

Etablieren Sie eine robuste Passwortrichtlinie

Active Directory ermöglicht es Ihnen, detaillierte Passwortrichtlinien zu definieren, die Faktoren wie Passwortlänge und Komplexitätsanforderungen berücksichtigen. Befolgen Sie die folgenden NIST password guidelines:

  • Passwörter sollten mindestens acht Zeichen enthalten, wenn sie von einer Person festgelegt werden, und sechs Zeichen, wenn sie von einem automatisierten System oder Dienst festgelegt werden.
  • Die Verwendung eines starken Passworts ist effektiver als das regelmäßige Aktualisieren schwacher Passwörter.
  • Vermeiden Sie komplexe Anforderungen, die nicht benutzerfreundlich sind, da sie dazu führen können, dass Benutzer schwache Passwörter erstellen oder ihre Passwörter auf unsichere Weise speichern (wie auf einem Klebezettel auf ihrem Schreibtisch). Ermutigen Sie stattdessen die Benutzer dazu, lange Passphrasen zu wählen, die leicht zu merken sind.
  • Überwachen Sie das Zurücksetzen von administrativen Passwörtern. Ungewöhnliche Passwort-Reset-Aktivitäten können auf einen Kompromiss des Administrator-Kontos hinweisen.
  • Kalibrieren Sie Ihre Kontosperrungseinstellungen, indem Sie strengere Einstellungen für Konten anwenden, die Zugriff auf wertvolle Daten und kritische Anwendungen haben. Auf diese Weise wird ein Angreifer, der versucht, ein Admin-Konto zu kompromittieren, nach nur wenigen fehlgeschlagenen Versuchen gesperrt, während ein normaler Benutzer, der sein Passwort ein paar Mal falsch eingibt, nicht gesperrt wird und sein Passwort zurücksetzen muss, bevor er wieder arbeiten kann.
  • Erwägen Sie die Investition in einen Passwort-Manager, der es Benutzern erleichtert, starke, einzigartige Passwörter zu haben, ohne die Belastung für Ihren Helpdesk durch häufige Kontosperrungen zu erhöhen.

Verwenden Sie auf jedem Rechner ein anderes lokales Administratorpasswort

Allzu oft erstellen Organisationen eine generische lokale Admin-Benutzer-ID mit demselben Passwort auf jedem Gerät, was es einem böswilligen Akteur, der einen Rechner kompromittiert, ermöglicht, auch andere zu kompromittieren. Mit den richtigen Werkzeugen können Sie problemlos auf jedem Gerät ein unterschiedliches lokales Admin-Passwort einrichten.

Insbesondere generiert und verwaltet die Local Administrator Password Solution (LAPS) automatisch einzigartige, komplexe Passwörter für lokale Administrator-Konten. Diese Passwörter werden sicher in Active Directory gespeichert und können nur von autorisierten Benutzern oder Systemen abgerufen werden. LAPS bietet folgende zusätzliche Vorteile:

  • LAPS unterstützt die automatische Rotation von Passwörtern lokaler Administratoren in regelmäßigen Abständen, wodurch die Nutzungsdauer eines kompromittierten Passworts reduziert wird.
  • Administratoren können Berechtigungen zum Abrufen lokaler Administratorpasswörter basierend auf den Rollen und Verantwortlichkeiten der Benutzer delegieren.
  • LAPS integriert sich nahtlos in Active Directory und nutzt dessen Sicherheitsfunktionen sowie Zugriffskontrollen, um die Speicherung und Abfrage von Passwörtern lokaler Administratoren zu verwalten.
  • LAPS hält eine Überwachungsspur der Passwortabrufaktivitäten fest, um Untersuchungen und Verantwortlichkeit zu erleichtern.
  • LAPS kann über Gruppenrichtlinien konfiguriert und verwaltet werden, was einen zentralisierten und skalierbaren Ansatz zur Bereitstellung und Verwaltung lokaler Administratorpasswörter in der gesamten Organisation bietet.

Zugriffsrechte kontrollieren

Sicherheitsgruppen sind der empfohlene Weg, um den Zugriff auf Ressourcen zu steuern. Anstatt Zugriffsrechte direkt einzelnen Benutzerkonten zuzuweisen, weisen Sie Berechtigungen Sicherheitsgruppen zu und machen dann jeden Benutzer zum Mitglied der entsprechenden Gruppen. Befolgen Sie diese Best Practices:

  • Befolgen Sie streng ein Modell mit minimalen Berechtigungen und geben Sie jedem Benutzer nur die minimalen Berechtigungen, die er benötigt, um seine Aufgaben zu erfüllen.
  • Erstellen Sie Gastkonten mit minimalen Privilegien.
  • Lassen Sie Datenbesitzer regelmäßig die Mitgliedschaft in Sicherheitsgruppen überprüfen, um sicherzustellen, dass nur die richtigen Benutzer Mitglieder jeder Gruppe sind.
  • Richten Sie ein AD-Delegationsmodell nach den best practices ein.
  • Überwachen Sie Änderungen an der Mitgliedschaft von Sicherheitsgruppen genau, insbesondere solche, die Berechtigungen zum Zugriff auf, Ändern oder Entfernen sensibler Daten haben.
  • Überwachen Sie auf verdächtige Änderungen an AD-Konten.
  • Deaktivieren Sie sofort die Konten von Mitarbeitern, die das Unternehmen verlassen.
  • Überwachen Sie inaktive Konten und deaktivieren Sie diese bei Bedarf.

Achten Sie besonders auf privilegierte Konten

Angreifer sind natürlich besonders daran interessiert, Zugang zu Konten zu erlangen, die administrative Privilegien besitzen oder Zugriff auf sensible Daten haben, wie zum Beispiel Kundenakten oder geistiges Eigentum. Daher ist es kritisch, besonders wachsam bei diesen mächtigen Konten zu sein. Zu den besten Praktiken gehören die folgenden:

  • Beschränken Sie die Mitgliedschaft in Domain Admins und anderen privilegierten Gruppen streng nach dem Prinzip der geringsten Rechte.
  • Schulen Sie Administratoren darin, ihre administrativen Konten nur dann zu verwenden, wenn es absolut notwendig ist, um das Risiko des Diebstahls von Anmeldeinformationen zu verringern.
  • Idealerweise implementieren Sie eine Privileged Access Management (PAM)-Lösung. Wenn das nicht möglich ist, behalten Sie nur das Standardkonto in Gruppen wie Domain Admins und fügen Sie andere Konten nur vorübergehend in diese Gruppe ein, bis sie ihre Arbeit abgeschlossen haben.
  • Überprüfen Sie regelmäßig die Verwendung von privilegierten Konten, um sicherzustellen, dass sie nur für autorisierte Zwecke verwendet werden und der Zugang auf der Grundlage eines berechtigten Interesses gewährt wird.
  • Implementieren Sie starke Passwortrichtlinien und Managementpraktiken für Privileged Accounts, einschließlich regelmäßiger Passwortänderungen und der Verwendung komplexer Passwörter.
  • Verlangen Sie von privilegierten Benutzern, eine sichere Administrations-Workstation (SAW) für administrative Aufgaben zu verwenden. SAWs verbessern die Sicherheit durch Funktionen wie starke Authentifizierung, Verschlüsselung und Überwachung. Beschränken Sie den Zugang zu SAWs auf autorisiertes Personal mit administrativen Verantwortlichkeiten und implementieren Sie starke Zugriffskontrollen, um unbefugte Nutzung zu verhindern. Isolieren Sie SAWs physisch und logisch von Standard-Benutzerarbeitsplätzen und Netzwerken, um das Risiko einer Malware-Infektion und unbefugten Zugriffs zu verringern.

Überwachen Sie Active Directory auf Anzeichen einer Kompromittierung

Active Directory ist ein geschäftiger Ort. Um Angriffe zu erkennen, ist es entscheidend zu wissen, worauf man in all den Ereignisdaten achten muss. Hier sind die fünf wichtigsten Dinge, die überwacht werden sollten:

Änderungen an Benutzerkonten

Achten Sie auf ungewöhnliche Änderungen an einem AD-Benutzerkonto. Erwägen Sie die Investition in ein Tool, das Ihnen helfen kann, die folgenden Fragen zu beantworten:

  • Welche Änderungen wurden an welchen Benutzerkonten vorgenommen?
  • Wer hat jede Änderung durchgeführt?
  • Wann hat sich die Änderung ereignet?
  • Wo wurde die Änderung vorgenommen?

Passwortzurücksetzungen durch Administratoren

Administratoren sollten immer etablierte Best Practices befolgen, wenn sie Benutzeranmeldeinformationen zurücksetzen. Ein robustes Überwachungstool hilft dabei, Fragen wie diese zu beantworten:

  • Welche Benutzerkonten hatten ihr Passwort zurückgesetzt?
  • Wer hat jedes Passwort zurückgesetzt?
  • Wann hat der Reset stattgefunden?
  • Wo hat der Administrator das Passwort zurückgesetzt?

Änderungen an der Mitgliedschaft in Sicherheitsgruppen

Unerwartete Änderungen in der Mitgliedschaft von Sicherheitsgruppen können auf bösartige Aktivitäten hinweisen, wie zum Beispiel Privilegienerweiterung oder andere Insider-Bedrohungen. Sie müssen wissen:

  • Wer wurde hinzugefügt oder entfernt?
  • Wer hat die Änderung vorgenommen?
  • Wann hat sich die Änderung ereignet?
  • Wo wurde die Änderung der Sicherheitsgruppe vorgenommen?

Anmeldeversuche eines einzelnen Benutzers von mehreren Endpunkten

Versuche eines einzelnen Benutzers, sich von verschiedenen Endpunkten aus anzumelden, sind oft ein Zeichen dafür, dass jemand die Kontrolle über ihr Konto übernommen hat oder zu übernehmen versucht. Es ist entscheidend, diese Aktivität zu markieren und zu untersuchen, um herauszufinden:

  • Welches Konto hat versucht, sich von mehreren Endpunkten anzumelden?
  • Was waren das für Endpunkte?
  • Wie viele Versuche wurden von jedem Endpunkt aus unternommen?
  • Wann begann die verdächtige Aktivität?

Änderungen an der Gruppenrichtlinie

Eine einzige unsachgemäße Änderung der Gruppenrichtlinie kann Ihr Risiko eines Sicherheitsvorfalls oder einer Datenpanne erheblich erhöhen. Die Verwendung eines Tools zur Überwachung dieser Aktivität erleichtert die Beantwortung drängender Fragen wie:

  • Welche Änderungen wurden an der Gruppenrichtlinie vorgenommen?
  • Wer hat jede Änderung durchgeführt?
  • Wann wurde jede Änderung vorgenommen?

Deaktivieren Sie SMBv1 und beschränken Sie NTLM

Geräte, die Microsoft Windows verwenden, nutzen hauptsächlich das SMB (Server Message Block)-Kommunikationsprotokoll. Untersuchungen zeigen jedoch, dass SMB für Eindringlinge durch Remote-Codeausführung genutzt wird, daher wird empfohlen, SMBv1 zu deaktivieren und nur die neuesten Versionen von SMB zu verwenden.

Ähnlich ist NTLM ein altes Authentifizierungsprotokoll, das Angreifer für den Diebstahl von Anmeldeinformationen nutzen. Wenn möglich, ersetzen Sie NTLM vollständig durch das neuere Kerberos-Protokoll. Mindestens sollten Sie die Verwendung von NTLMv1 eliminieren.

Schützen Sie LSASS

LSASS (Local Security Authority Subsystem Service) ist ein Windows-Prozess, der für mehrere sicherheitsrelevante Aufgaben verantwortlich ist: Überprüfung der Benutzeranmeldeinformationen beim Anmelden; Durchsetzung von Passwortkomplexität, Ablauf und Sperrrichtlinien; Verwaltung von Sicherheitstokens, die den Zugriff auf Ressourcen gewähren; und Implementierung des Kerberos-Authentifizierungsprotokolls. Zu den Best Practices zum Schutz von LSASS gehören die folgenden:

  • Führen Sie regelmäßig Sicherheitsupdates und Patches für das Betriebssystem durch, um Schwachstellen zu beheben, die ausgenutzt werden könnten, um LSASS zu kompromittieren.
  • Installieren Sie renommierte Antivirus- und Anti-Malware-Lösungen auf allen Systemen, um zu erkennen und zu verhindern, dass bösartige Software LSASS angreift.
  • Aktivieren Sie Windows Credential Guard, ein Sicherheitsfeature in Windows, das LSASS und Anmeldeinformationen vor Diebstahl durch Malware schützt.

Führen Sie nur unterstützte Betriebssysteme aus und halten Sie diese aktuell

Es ist wichtig, nur unterstützte Betriebssysteme zu verwenden, die regelmäßige Sicherheitsupdates und Patches erhalten, um das Risiko von Sicherheitsanfälligkeiten zu verringern und den Zugang zu technischer Unterstützung und Beratung bei sicherheitsrelevanten Problemen zu gewährleisten.

Stellen Sie außerdem sicher, dass alle Betriebssysteme in Ihrer Umgebung regelmäßig mit den neuesten Sicherheitspatches und Updates des Anbieters aktualisiert werden.

Bereinigen Sie Active Directory

Zu den besten Praktiken für die Bereinigung der Active Directory-Sicherheit gehören die folgenden:

  • Identifizieren und entfernen Sie alle veralteten oder ungenutzten Benutzerkonten und Computerkonten aus Active Directory, um zu verhindern, dass Gegner sie missbrauchen und der Entdeckung entgehen.
  • Richten Sie Prozesse ein, um sicherzustellen, dass das Konto eines Benutzers umgehend deaktiviert wird, wenn er die Organisation verlässt.
  • Entfernen Sie alle unnötigen Sicherheitsgruppen, um Versuche der Rechteausweitung zu vereiteln.
  • Dokumentieren Sie die Bereinigungsprozesse und legen Sie regelmäßige Zeitpläne für die Überprüfung und Wartung von Active Directory fest, um kontinuierliche Sicherheit und Effizienz zu gewährleisten.

Active Directory überwachen

Im Folgenden finden Sie einige bewährte Methoden für das Auditing von Active Directory:

  • Stellen Sie sicher, dass das Auditing in Active Directory aktiviert ist, um Änderungen und Zugriffe auf Verzeichnisobjekte zu verfolgen. Dies kann über die Gruppenrichtlinieneinstellungen oder direkt in der Active Directory-Benutzer- und Computerkonsole erfolgen.
  • Konfigurieren Sie Überwachungsrichtlinien basierend auf den spezifischen Sicherheits- und Compliance-Anforderungen Ihrer Organisation. Insbesondere überwachen Sie Änderungen an Benutzerkonten, Gruppenmitgliedschaften, Berechtigungen und kritischen Gruppenrichtlinienobjekten.
  • Überprüfen Sie regelmäßig die von Active Directory generierten Audit-Protokolle, um verdächtige Änderungen oder andere ungewöhnliche Aktivitäten zu identifizieren. Untersuchen Sie umgehend alle potenziellen Sicherheitsbedrohungen.
  • Erwägen Sie die Implementierung einer Echtzeit-Überwachungslösung, die sofortige Warnungen für kritische Sicherheitsereignisse und automatisierte Bedrohungsreaktionen auf erwartete AD-Bedrohungen bietet.
  • Erwägen Sie den Einsatz von automatisierten Tools zur Erstellung regelmäßiger Auditberichte, die bei der Überwachung der Compliance, dem Nachweis der Sorgfaltspflicht und der Identifizierung von Trends oder Mustern in der Verzeichnisaktivität helfen können.

Führen Sie Patch-Management durch

Etablieren Sie einen Prozess für den schnellen Empfang und die Implementierung von Sicherheitspatches für Active Directory und andere kritische Systeme. Priorisieren Sie die Patch-Implementierung basierend auf der Schwere der Schwachstelle und der potenziellen Auswirkung auf die Organisation.

Testen Sie Patches in einer Nicht-Produktionsumgebung, bevor Sie sie in der Produktion einsetzen, um sicherzustellen, dass sie keine Kompatibilitäts- oder Stabilitätsprobleme verursachen.

Führen Sie Schwachstellen-Scans und Penetrationstests durch

Führen Sie regelmäßige Schwachstellenscans von Active Directory und anderen kritischen Systemen durch, um potenzielle Sicherheitsschwächen zu identifizieren. Priorisieren Sie Schwachstellen basierend auf ihrer Schwere und dem potenziellen Einfluss auf Ihre Organisation. Beheben Sie Schwachstellen, indem Sie Sicherheitspatches anwenden, Sicherheitskontrollen implementieren oder andere Maßnahmen ergreifen. Erwägen Sie die Verwendung von automatisierten Tools für Schwachstellenscans, um den Prozess zu optimieren und das Risiko von menschlichen Fehlern zu reduzieren.

Führen Sie auch regelmäßige Penetrationstests durch, um potenzielle Schwachstellen zu identifizieren und die Wirksamkeit Ihrer Sicherheitskontrollen zu bewerten.

Sichern Sie Servicekonten ab

Dienstkonten werden verwendet, um Dienste, geplante Aufgaben und Anwendungen auszuführen. Um Sicherheitsrisiken zu minimieren, weisen Sie jedem Dienstkonto die minimal notwendigen Berechtigungen zu, um seine spezifischen Funktionen auszuführen. Zusätzlich setzen Sie starke Passwortrichtlinien durch, die Komplexitätsanforderungen und Einschränkungen bei der Passwortwiederverwendung beinhalten, und fordern Sie regelmäßige Passwortänderungen.

Dienstkonten sollten so konfiguriert werden, dass interaktive Anmeldungen nicht erlaubt sind. Sie sollten nicht für interaktive Sitzungen oder Konsolenanmeldungen verwendet werden, da sie für das Ausführen von Diensten und Hintergrundaufgaben vorgesehen sind.

Verwenden Sie Managed Service Accounts (MSAs) wann immer möglich

Verwaltete Dienstkonten (MSAs) generieren und verwalten automatisch starke, komplexe Passwörter, wodurch die Notwendigkeit manueller Passwortverwaltung entfällt und das Risiko passwortbezogener Sicherheitsprobleme verringert wird. Das Passwort wird automatisch von den Domänencontrollern verwaltet und aktualisiert. MSAs lassen sich einfach mit PowerShell-Befehlen oder über Gruppenrichtlinien einsetzen und verwalten, was sie zu einer skalierbaren und effizienten Lösung macht.

Implementieren Sie die Multifaktor-Authentifizierung (MFA)

MFA erhöht die Sicherheit, indem von Benutzern verlangt wird, sich mit zwei oder mehr verschiedenen Methoden zu authentifizieren, wie zum Beispiel einem Code von einem Hardware- oder Software-Token oder einer SMS-Nachricht, Biometrie und Push-Benachrichtigungen an mobile Geräte. Berücksichtigen Sie Faktoren wie Benutzerfreundlichkeit, Skalierbarkeit und Kompatibilität mit Ihrer bestehenden Infrastruktur, einschließlich Active Directory.

Definieren Sie MFA-Richtlinien basierend auf Benutzerrollen, Gruppen oder spezifischen Sicherheitsanforderungen. Zum Beispiel möchten Sie möglicherweise MFA für alle privilegierten Konten, Fernzugriffsanfragen oder bestimmte Anwendungen erzwingen.

Sicheres DNS

  • Sichern Sie DNS durch die Verwendung von Active Directory-integrierten DNS-Zonen. Dies bietet verbesserte Sicherheit durch Zugriffskontrolllisten (ACLs) und sichere dynamische Updates.
  • Implementieren Sie Domain Name System Security Extensions (DNSSEC), um eine zusätzliche Sicherheitsebene für DNS hinzuzufügen. DNSSEC hilft, gegen DNS-Spoofing und Cache-Poisoning-Angriffe zu schützen, indem DNS-Daten digital signiert werden.
  • Konfigurieren Sie DNS-Server, um Zonentransfers auf autorisierte Server zu beschränken. Die Begrenzung von Zonentransfers hilft dabei, unbefugten Zugriff auf DNS-Zonendaten zu verhindern.
  • Nutzen Sie DNS-Filterung und Schutzlösungen, um bösartige Domains zu blockieren und den Zugriff auf bekannte schädliche Websites zu verhindern. Dies kann dabei helfen, sich vor Malware, Phishing und anderen Sicherheitsbedrohungen zu schützen.
  • Setzen Sie eine DNS-Firewall ein, um schädlichen DNS-Verkehr zu filtern und zu blockieren. DNS-Firewalls können dabei helfen, sich vor auf DNS basierenden Angriffen zu schützen und das Risiko der Datenexfiltration zu mindern.
  • Halten Sie DNS-Server mit den neuesten Sicherheitspatches und Updates auf dem neuesten Stand, um Schwachstellen zu beheben und gegen bekannte Exploits zu schützen.

RDP dazu zwingen, TLS-Verschlüsselung zu verwenden

Das Remote Desktop Protocol (RDP) ist ein beliebtes Protokoll, das verwendet wird, um auf Windows-basierte Systeme aus der Ferne zuzugreifen. Standardmäßig verwendet RDP Verschlüsselung, um die Kommunikation zwischen dem Client und dem Server zu sichern. Es wird jedoch empfohlen, die Verwendung von Transport Layer Security (TLS)-Verschlüsselung für RDP durchzusetzen, um die Sicherheit zu erhöhen. Installieren und konfigurieren Sie ein SSL/TLS-Zertifikat auf dem Remote Desktop Gateway-Server. Dieses Zertifikat wird verwendet, um die Kommunikation zwischen dem Client und dem Server zu verschlüsseln.

Implementieren Sie einen Backup- und Disaster-Recovery-Plan für Active Directory

Ein Desaster oder Ausfall, der AD betrifft, kann ernsthafte Konsequenzen für den Betrieb der Organisation haben. Die Implementierung eines Notfallwiederherstellungsplans für AD kann helfen, die Geschäftskontinuität im Falle eines Desasters zu gewährleisten. Stellen Sie sicher, dass Sie Backup- und Wiederherstellungsverfahren, Failover- und Failback-Verfahren, Kommunikations- und Benachrichtigungsverfahren, das Testen von Backup- und Wiederherstellungsverfahren und die ausgelagerte Speicherung von Backup-Daten einbeziehen.

Weitere Best Practices für AD in Bezug auf Backup und Wiederherstellung umfassen Folgendes:

  • Sichern Sie das Active Directory regelmäßig. Windows Server beinhaltet eine integrierte Backup-Funktion, die genutzt werden kann, um das Active Directory zu sichern. Sie können das "Windows Server Backup"-Tool verwenden, um Systemstatus-Backups durchzuführen, welche die AD-Daten einschließen. Allerdings bieten Drittanbieter-Backuplösungen, die speziell für Active Directory entwickelt wurden, zusätzliche Funktionen und Flexibilität.
  • Stellen Sie insbesondere sicher, dass Sie die Domänencontroller, die die FSMO-Rollen halten, sichern, da diese für AD-Operationen entscheidend sind.
  • Stellen Sie sicher, dass Backup-Daten sicher gespeichert werden. Dies beinhaltet den Schutz von Backup-Medien vor physischen Schäden, die Verschlüsselung von Backup-Daten und den eingeschränkten Zugriff auf Backup-Dateien für autorisiertes Personal.
  • Dokumentieren Sie die Backup-Verfahren für Active Directory, einschließlich des Backup-Zeitplans, der Aufbewahrungsanforderungen und aller spezifischen Überlegungen für Ihre Umgebung.

Aktivieren Sie die Windows-Firewall auf allen Systemen

Aktivieren Sie die Windows-Firewall auf allen Systemen, um gegen unbefugten Zugriff und netzwerkbasierte Bedrohungen zu schützen.

  • Verwenden Sie Gruppenrichtlinien, um die Einstellungen der Windows-Firewall zentral zu verwalten und auf allen Systemen in Ihrem Netzwerk durchzusetzen.
  • Erstellen Sie Firewall-Regeln, um bestimmte Arten von Datenverkehr basierend auf den Sicherheitsrichtlinien Ihrer Organisation zuzulassen oder zu blockieren. Zum Beispiel können Sie Regeln erstellen, um eingehenden und ausgehenden Datenverkehr für bestimmte Anwendungen, Dienste oder Ports zu erlauben, während unnötiger oder potenziell riskanter Datenverkehr blockiert wird.
  • Verwenden Sie die Konsole Windows-Firewall mit erweiterter Sicherheit, um erweiterte Einstellungen wie Verbindungsicherheitsregeln, Authentifizierungsausnahmen und benutzerdefinierte Firewallregeln zu konfigurieren, die eine granulare Kontrolle über den Netzwerkverkehr ermöglichen.

Installieren Sie Antivirus- und Antimalware-Tools und halten Sie diese aktuell

Wählen Sie zuverlässige Antivirus- und Antimalware-Software, die mit Active Directory kompatibel ist und den Sicherheitsanforderungen Ihrer Organisation entspricht.

Installieren Sie die Antivirus- und Antimalware-Software auf einem Server innerhalb der Active Directory-Umgebung. Stellen Sie sicher, dass die Software so konfiguriert ist, dass sie alle Systeme und Geräte scannt und schützt, die mit dem Active Directory-Netzwerk verbunden sind.

Richten Sie automatische Updates für die Antivirus- und Antimalware-Software ein, um sicherzustellen, dass sie immer auf dem neuesten Stand mit den aktuellsten Virendefinitionen und Sicherheitspatches ist.

Sichere Netzwerkkommunikation

  • Konfigurieren Sie Active Directory so, dass SSL/TLS für die LDAP-Kommunikation verwendet wird, um Daten, die zwischen Clients und Domänencontrollern übertragen werden, zu verschlüsseln.
  • Verwenden Sie Internet Protocol Security (IPsec), um den Netzwerkverkehr zwischen Domain-Controllern zu sichern, sodass Daten verschlüsselt und authentifiziert werden.
  • Aktivieren Sie die Server Message Block (SMB)-Signierung, um sicherzustellen, dass die über das Netzwerk übertragenen Daten signiert und validiert werden, was Manipulationen und unbefugten Zugriff verhindert.
  • Configure Active Directory to use Kerberos authentication, which provides secure mutual authentication between clients and domain controllers.

Implementierung von VPNs

Implementieren Sie virtuelle private Netzwerke (VPNs) für Ihr Intranet basierend auf den Anforderungen Ihrer Organisation, einschließlich der Anzahl der Remote-Benutzer, der Arten von Anwendungen, auf die zugegriffen wird, und des erforderlichen Sicherheitsniveaus. Berücksichtigen Sie bei der Auswahl einer VPN-Lösung auch die Wartungsfreundlichkeit, Sicherheitsfunktionen und Skalierbarkeit. Installieren und konfigurieren Sie die VPN-Client-Software auf den Geräten der Remote-Benutzer und stellen Sie sicher, dass sie sich sicher mit den VPN-Servern innerhalb des Intranets verbinden können.

Altsysteme und -anwendungen isolieren

Trennen Sie Altsysteme und -anwendungen physisch oder logisch vom restlichen Netzwerk, um Sicherheitsrisiken zu begrenzen. Erstellen Sie separate Organisationseinheiten (OUs) in Active Directory (AD) für Altsysteme und -anwendungen, damit Sie Gruppenrichtlinieneinstellungen und Zugriffssteuerungen einfach anwenden können, die auf ihre spezifischen Anforderungen zugeschnitten sind.

Altsysteme und -anwendungen außer Betrieb nehmen

Bewerten Sie die Nutzung, die geschäftlichen Auswirkungen und die Sicherheitsrisiken von Altsystemen und -anwendungen und entwickeln Sie einen Plan, um sie nach Möglichkeit außer Betrieb zu nehmen. Informieren Sie Benutzer und Stakeholder über die Details, einschließlich Zeitplänen, alternativen Lösungen und möglichen Auswirkungen auf ihre Arbeitsabläufe. Stellen Sie sicher, dass alle Daten archiviert werden, die nicht mehr benötigt werden, aber aus Compliance- oder historischen Gründen aufbewahrt werden müssen.

Fazit

Die hier dargelegten bewährten Sicherheitspraktiken für Active Directory sind entscheidend, um Ihre Sicherheitslage zu stärken. Eine sorgfältige Verwaltung der Aktivitäten im gesamten Netzwerk, die die AD-Sicherheit beeinflussen, ermöglicht es Ihnen, Ihre Angriffsfläche zu verringern sowie Bedrohungen schnell zu erkennen und darauf zu reagieren.

Netwrix Active Directory Sicherheitslösung

Identifizieren und beheben Sie proaktiv Ihre Sicherheitslücken – mit einer ganzheitlichen End-to-End-Sicherheitslösung.

Eine persönliche Demo anfordern

Teilen auf

Verwandte Ressourcen

Vertiefen Sie sich in unsere weiterführenden Ressourcen

Resource Center
E-Book

Erleichterung der Datenverlustprävention mit Netwrix Solutions

Data Loss Prevention
E-Book

Software auf Windows installieren: Schmerzhaft, aber es muss nicht sein

Endpoint Management