Privilegierte Konten im AD schützen

Hoher Schutzbedarf

In Umgebungen, die von einer hohen Komplexität oder einer starken Kritikalität der angeschlossenen Systeme geprägt sind, muss die Authentifizierung klar geregelt sein. Besonders groß ist der Schutzbedarf bei privilegierten Konten wie Domänen- oder Organisationsadministratoren. Das Active Directory bietet hierfür unter anderem die Protected-Users-Gruppe und Authentifizierungsrichtlinien, die wir uns in diesem Beitrag genauer ansehen.
Angesichts der zunehmend genutzten verteilten Infrastrukturen verkompliziert sich der reibungslose Betrieb von Applikationen. Im Dezember befasst sich ... (mehr)

Mit Windows 2000 Server kam das Active Directory (AD) vor ungefähr 20 Jahren auf den Markt. Es sollten jedoch 13 Jahre vergehen, bis mit Server 2012 R2 eine der größten Verbesserungen in puncto Sicherheit der Kerberos-Authentifizierung von hochprivilegierten Konten veröffentlicht wurde. Ein Teil der neuen Funktionalität, die Sonderbehandlung der "Protected Users"-Gruppe, wurde mit dem Heraufstufen der Domänenfunktionsebene automatisch eingeführt und hat in manchen Fällen Irritationen hervorgerufen. Weitere Features wie Authentication Policies sind vielen Administratoren bis heute unbekannt.

Hochprivilegierte Konten schützen

Für den normalen User, der sich ohne Systemverwalterrechte an seiner Arbeitsstation oder an einem gemeinsam genutzten Computer anmeldet, um mithilfe von Anwendungsprogrammen

seine Aufgaben zu erledigen, ist die übliche Anmeldung mittels Kerberos durchaus gut genug: Das bei der Anmeldung erteilte Ticket Granting Ticket (TGT) ist standardmäßig zehn Stunden gültig und wird bei Ablauf stillschweigend erneuert. Die Anmeldung ist dabei grundsätzlich an jedem Clientsystem innerhalb des Forests möglich, sofern die Default-Konfiguration nicht verändert wurde. Sind ältere Geräte im Einsatz, ist zur Not auch eine NTLM-Authentifizierung möglich. Das ist in den meisten Fällen auch vollkommen in Ordnung.

Anders ist es jedoch bei einem hochprivilegierten Account. Dabei muss sich "hochprivilegiert" nicht unbedingt auf einen Domänen- oder Schema-Admin beziehen. Auch ein Konto, das weitreichende Verwaltungs- und Datenzugriffsberechtigungen in einem anderen System als dem Active Directory selbst besitzt, muss der IT-Verantwortliche ausreichend schützen. Ein SQL-Admin hat das Potenzial, wichtige Daten zu Geschäftsvorgängen zu entwenden oder zu verändern. Ein Fileserver-Admin könnte unter Umständen auf geheime Entwürfe aus der

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021