Sicherheitskonfiguration im AD

Das Active Directory übernimmt für die Sicherheit im Windows-Umfeld eine zentrale Funktion. Die sichere Konfiguration des Active Directory zählt zu den administrativen Herausforderungen, wird aber im Gegensatz zu der Sicherheit von Dateisystemen oftmals eher vernachlässigt.

Das Active Directory führt die Authentifizierung von Benutzern durch und erstellt das für die Autorisierung von Zugriffen erforderliche Access Token. Dieses wird wiederum vom Betriebssystem beispielsweise beim Zugriff auf das NTFS-Dateisystem verarbeitet.

Gleichzeitig ist das Active Directory aber selbst auch ein Dienst, bei dem Zugriffe autorisiert werden müssen. Auch dazu wird das Access Token verwendet.

In diesem Artikel wird auf verschiedene Aspekte der Sicherheitskonfiguration des Active Directory in Bezug auf Authentifizierung und Autorisierung, eingegangen.

Die Grundlage: Authentifizierung

Das Active Directory ist der wichtigste Speicher für sicherheitsrelevante Informationen in Windows-Netzwerken. Dort werden die Benutzer und Computerobjekte angelegt, für die eine Authentifizierung erfolgen muss. Die Objekte sind eindeutig durch die SID gekennzeichnet, wie übrigens auch Gruppen. Letztere werden allerdings nur bei der Autorisierung benötigt.

Wichtig ist, dass das Active Directory dabei zunächst „nur“ ein Speicher ist. Ein Teil der Informationen wurde bereits früher von den Domänencontrollern von Windows NT 4.0 gespeichert. Ebenso können auch heute noch auf allen Systemen außer den Domänencontrollern lokale Benutzerkonten definiert werden.

Die Authentifizierung erfolgt daher auch nicht durch das Active Directory, sondern gegen das Active Directory. Das wird schon daran deutlich, dass Kerberos als eigenständiger Dienst in der Liste der Dienste aufgeführt ist. Es gibt ebenso wie für NTLM eine Kerberos-Authentifizierungsmethode, die von der LSA (Local Security Authority) aufgerufen werden kann. Diese Methode nutzt wiederum den Kerberos-Dienst und das Active Directory, um die Authentifizierung durchzuführen.

Das Active Directory nimmt aber dennoch eine zentrale Position ein, da es eben als Repository für die Authentifizierungsinformationen dient. Der gezielte Schutz des Verzeichnisdienstes ist deshalb sehr wichtig. Das gilt umso mehr, als man darauf über Werkzeuge wie ldp.exe und andere LDAP-Schnittstellen sehr einfach zugreifen kann. Wenn die Berechtigungen innerhalb des Active Directory nicht gezielt eingeschränkt werden, entstehen signifikante Sicherheitsrisiken.

Die Sicherung des Active Directory

Die Sicherung des Active Directory muss auf mehreren Ebenen erfolgen. Das beginnt bei der physischen Sicherheit, die bei Domänencontrollern besonders wichtig ist. Zwar sind die sensiblen Informationen dort verschlüsselt oder als Hash abgelegt – dennoch sind die Datenbanken auf Domänencontrollern besonders sicherheitskritisch.

Die weiteren Ebenen sind die generellen Regeln für den Zugriff auf die Domänencontroller – also die Sicherheitskonfiguration für das Active Directory – und die Sicherheitseinstellungen für das Betriebssystem. Der Schwerpunkt in diesem Artikel liegt auf den Sicherheitseinstellungen für das Active Directory.