Sicherheitskonfiguration im AD

Überwachung

Neben der konsequenten Festlegung von Sicherheitseinstellungen ist für eine hohe Sicherheit im Active Directory auch erforderlich, dass man die Zugriffe darauf überwacht. Dafür müssen die entsprechenden Überwachungseinstellungen gesetzt werden. Der erste Schritt dabei ist die Aktivierung von Verzeichnisdienstzugriff überwachen im Bereich Computerkonfiguration/Windows Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie der Gruppenrichtlinie, über die Domänencontroller konfiguriert werden – also in der Regel der Default Domain Controllers Policy (Bild 9). Zusätzlich muss bei den Zugriffsberechtigungen im Active Directory konfiguriert werden, bei welchen Objekten welche Zugriffe durch welche Benutzer überwacht werden sollen.

Bild 9: Die Überwachung von Zugriffen auf das Active Directory sollte aktiviert werden.
Bild 9: Die Überwachung von Zugriffen auf das Active Directory sollte aktiviert werden.

Die Festlegungen dazu finden sich bei den erweiterten Sicherheitseinstellungen im Register Überwachung. Dort können in ähnlicher Form wie ACEs auch Einträge für die Überwachung festgelegt werden. Es gibt einige Standardeinträge, die konfiguriert sind und die als Ausgangsbasis dienen können (Bild 10).

Bild 10: Die Überwachungseinstellungen im Active Directory.
Bild 10: Die Überwachungseinstellungen im Active Directory.

Die Standardeinträge reichen für eine wirksame und vollständige Überwachung nicht aus. So wird das Anlegen neuer Objekte dadurch nicht wirksam erfasst, was aber wichtig ist.

Der Security Configuration Wizard

Im Zusammenhang mit der Sicherheit des Active Directory und von Windows-Servern generell ist auch der Sicherheitskonfigurations-Assistent (Security Configuration Wizard) erwähnenswert, der ab dem Service Pack 1 für den Windows Server 2003 verfügbar ist. Mit diesem Assistenten können auf Basis vordefinierter Serverrollen Einschränkungen für die Sicherheit definiert werden.

Der Assistent muss über den Bereich Software der Systemsteuerung explizit installiert werden. Er arbeitet über XML-Dateien, in denen die Konfigurationsinformationen abgespeichert werden. Der Vorteil des Assistenten liegt in seiner einfachen Nutzbarkeit, auch im Vergleich mit den Gruppenrichtlinien. Letztere sind aber vor allem in größeren Netzwerken die bessere Alternative zur Sicherung des Active Directory, da sie noch mehr Konfigurationsoptionen beinhalten und deutlich besser nachvollziehbar sind.

Bild 11: Mit dem Assistent für die Sicherheitskonfiguration können einfach Sicherheitseinstellungen definiert werden.
Bild 11: Mit dem Assistent für die Sicherheitskonfiguration können einfach Sicherheitseinstellungen definiert werden.

Schon die Vielzahl unterschiedlicher Konfigurationsansätze macht aber deutlich, wie planungsaufwändig und komplex die Sicherung des Active Directory ist. Eine solche Planung und Konfiguration ist aber unerlässlich, um an dieser zentralen Stelle des Netzwerks keine unkalkulierbaren Sicherheitsrisiken entstehen zu lassen.