Sicherheitskonfiguration im AD
Überwachung
Neben der konsequenten Festlegung von Sicherheitseinstellungen ist für eine hohe Sicherheit im Active Directory auch erforderlich, dass man die Zugriffe darauf überwacht. Dafür müssen die entsprechenden Überwachungseinstellungen gesetzt werden. Der erste Schritt dabei ist die Aktivierung von Verzeichnisdienstzugriff überwachen im Bereich Computerkonfiguration/Windows Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie der Gruppenrichtlinie, über die Domänencontroller konfiguriert werden – also in der Regel der Default Domain Controllers Policy (Bild 9). Zusätzlich muss bei den Zugriffsberechtigungen im Active Directory konfiguriert werden, bei welchen Objekten welche Zugriffe durch welche Benutzer überwacht werden sollen.
Die Festlegungen dazu finden sich bei den erweiterten Sicherheitseinstellungen im Register Überwachung. Dort können in ähnlicher Form wie ACEs auch Einträge für die Überwachung festgelegt werden. Es gibt einige Standardeinträge, die konfiguriert sind und die als Ausgangsbasis dienen können (Bild 10).
Die Standardeinträge reichen für eine wirksame und vollständige Überwachung nicht aus. So wird das Anlegen neuer Objekte dadurch nicht wirksam erfasst, was aber wichtig ist.
Der Security Configuration Wizard
Im Zusammenhang mit der Sicherheit des Active Directory und von Windows-Servern generell ist auch der Sicherheitskonfigurations-Assistent (Security Configuration Wizard) erwähnenswert, der ab dem Service Pack 1 für den Windows Server 2003 verfügbar ist. Mit diesem Assistenten können auf Basis vordefinierter Serverrollen Einschränkungen für die Sicherheit definiert werden.
Der Assistent muss über den Bereich Software der Systemsteuerung explizit installiert werden. Er arbeitet über XML-Dateien, in denen die Konfigurationsinformationen abgespeichert werden. Der Vorteil des Assistenten liegt in seiner einfachen Nutzbarkeit, auch im Vergleich mit den Gruppenrichtlinien. Letztere sind aber vor allem in größeren Netzwerken die bessere Alternative zur Sicherung des Active Directory, da sie noch mehr Konfigurationsoptionen beinhalten und deutlich besser nachvollziehbar sind.
Schon die Vielzahl unterschiedlicher Konfigurationsansätze macht aber deutlich, wie planungsaufwändig und komplex die Sicherung des Active Directory ist. Eine solche Planung und Konfiguration ist aber unerlässlich, um an dieser zentralen Stelle des Netzwerks keine unkalkulierbaren Sicherheitsrisiken entstehen zu lassen.