Bundesamt für Sicherheit in der Informationstechnik

B 5.16 Active Directory

Logo Active Directory

Beschreibung

Active Directory ist ein von Microsoft entwickelter Verzeichnisdienst, der mit dem Betriebssystem Windows 2000 Server erstmalig eingeführt wurde. Ausgehend von den Active Directory-Funktionen des Betriebssystems Microsoft Windows 2000 Server wurden dem Active Directory-Dienst der Windows-Server-2003-Familie weitere Schlüsselfunktionen hinzugefügt.

Active Directory wird hauptsächlich in IT-Netzen mit überwiegend Microsoft-Komponenten eingesetzt. Active Directory speichert Informationen über Objekte innerhalb eines IT-Netzes, z. B. über Benutzer oder Computer, und erleichtert es Anwendern und Administratoren, diese Informationen bereitzustellen, zu organisieren, zu nutzen und zu überwachen. Als ein objektbasierter Verzeichnisdienst ermöglicht Active Directory die Verwaltung von Objekten und deren Beziehung untereinander, die die eigentliche Netzumgebung ausmachen. Active Directory stellt zentrale Steuerungs- und Kontrollmöglichkeiten des jeweiligen Netzes bereit. Der Einsatz eines solchen Verzeichnisdienstes bietet sich vor allem dort an, wo z. B. die Anzahl der im Netz eingesetzten Clients eine dezentrale Verwaltung erschwert. Ohne einen Verzeichnisdienst könnte die Zuverlässigkeit lokal vorzunehmender Einstellungen, wie z. B. Umsetzung der Vorgaben aus Sicherheitsrichtlinien, aufgrund des hohen personellen Aufwandes nicht mehr gewährleistet werden. Verwaltungsaufgaben innerhalb des Netzes wie z. B. Passwortänderungen, Kontenerstellung und Zugriffsrechte können durch den Einsatz eines Verzeichnisdienstes effizienter durchgeführt werden.

Abgrenzung des Bausteins

In diesem Baustein werden die für Active Directory spezifischen Gefährdungen und Maßnahmen betrachtet. Allgemeine Sicherheitsempfehlungen zu Verzeichnisdiensten finden sich im Baustein B 5.15 Allgemeiner Verzeichnisdienst . Die dort beschriebenen allgemeinen Maßnahmen werden im vorliegenden Baustein konkretisiert und ergänzt.

Gefährdungslage

Für den IT-Grundschutz eines Active Directory werden folgende typische Gefährdungen angenommen:

Höhere Gewalt

G 1.2 Ausfall von IT-Systemen

Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen
G 2.2 Unzureichende Kenntnis über Regelungen
G 2.7 Unerlaubte Ausübung von Rechten
G 2.22 Fehlende oder unzureichende Auswertung von Protokolldaten
G 2.68 Fehlende oder unzureichende Planung des Active Directory
G 2.126 Unzureichende Protokollierung von Änderungen am Active Directory
G 2.127 Unzureichende Planung von Datensicherungsmethoden für Domänen-Controller

Menschliche Fehlhandlungen

G 3.9 Fehlerhafte Administration von IT-Systemen
G 3.13 Weitergabe falscher oder interner Informationen
G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
G 3.49 Fehlerhafte Konfiguration des Active Directory
G 3.88 Falsche Vergabe von Zugriffsrechten
G 3.89 Fehlerhafte Konfiguration des LDAP-Zugriffs auf Verzeichnisdienste

Technisches Versagen

G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen
G 4.13 Verlust gespeicherter Daten
G 4.33 Schlechte oder fehlende Authentikationsverfahren und -mechanismen
G 4.67 Ausfall von Verzeichnisdiensten
G 4.68 Störungen des Active Directory durch unnötige Dateireplizierung

Vorsätzliche Handlungen

G 5.16 Gefährdung bei Wartungs-/Administrierungsarbeiten
G 5.18 Systematisches Ausprobieren von Passwörtern
G 5.19 Missbrauch von Benutzerrechten
G 5.20 Missbrauch von Administratorrechten
G 5.65 Verhinderung der Dienste eines Datenbanksystems
G 5.71 Vertraulichkeitsverlust schützenswerter Informationen
G 5.78 DNS-Spoofing
G 5.85 Integritätsverlust schützenswerter Informationen
G 5.144 Kompromittierung von Verzeichnisdiensten durch unbefugten Zugriff

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz. Vor allem ist aber zusätzlich der Baustein B 5.15 Allgemeiner Verzeichnisdienst anzuwenden, der allgemeine Empfehlungen für die generelle Absicherung von Verzeichnisdiensten enthält.

Voraussetzung für eine angemessene Absicherung der im Active Directory verarbeiteten Daten ist die entsprechende Absicherung des darunterliegenden Serverbetriebssystems. Die Absicherung der Microsoft-Windows-Server-Betriebssysteme ist nicht Teil dieses Bausteins, sondern wird in den entsprechenden Bausteinen der Schicht 3 behandelt. Daher sind in Abhängigkeit vom gewählten Betriebssystem der Baustein B 3.108 Windows Server 2003 oder B 3.109 Windows Server 2008 ebenfalls für den sicheren Betrieb eines Active Directory zu berücksichtigen.

Für den erfolgreichen Aufbau eines Active Directory sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über die Installation bis zum Betrieb. Die Schritte, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Planung und Konzeption

Als Einstieg empfiehlt es sich zunächst die Maßnahme M 3.64 Einführung in Active Directory zu betrachten, die einen Überblick über die Aufbau und Begrifflichkeiten eines Active Directory bietet.

Vor der eigentlichen Einrichtung des Active Directory ist im Vorfeld die Organisationsstruktur der Institution zu ermitteln, um aus dieser eine möglichst optimale Konfiguration für das Active Directory ableiten zu können. Die Maßnahme M 2.229 Planung des Active Directory erläutert die Vorgehensweise in der Planungsphase und das Domänenkonzept des Active Directory.

M 2.230 Planung der Active Directory-Administration beschäftigt sich mit der Basisstruktur zur Verwaltung einer Domäne und vermittelt die Aufgaben und Anwendungen der einzelnen administrativen Rollen.

Die Maßnahme M 2.231 Planung der Gruppenrichtlinien unter Windows befasst sich mit den Gruppenrichtlinien für Windows Betriebssysteme, die auch mittels Active Directory verwaltet werden können. Des Weiteren wird der organisatorische Aufbau und die Rechteanpassung von administrativen Benutzerkonten in der Maßnahme M 2.411 Trennung der Verwaltung von Diensten und Daten eines Active Directory erläutert. Hieraus ergeben sich auch die Empfehlungen aus M 2.412 Schutz der Authentisierung beim Einsatz von Active Directory , wo Anpassungen zur Absicherungen des Verzeichnisdienstes vorgestellt werden.

Um den Integritätsschutz einer produktiv eingesetzten Active Directory-Umgebung durch die Sicherung der DNS -Komponenten gewährleisten zu können, ist die Maßnahme M 2.413 Sicherer Einsatz von DNS für Active Directory zu berücksichtigen. Darüber hinaus ist M 2.414 Computer-Viren-Schutz für Domänen-Controller zu den spezifischen Besonderheiten für den Einsatz von Virenschutzprogramme auf Domänen-Controllern zu berücksichtigen.

Beschaffung

Nach Abschluss der konzeptionellen Planungsarbeiten und der Definition der Beschaffungskriterien für einen Server sollte in Abhängigkeit der Anzahl der zu beschaffenden Server und des ausgewählten Betriebssystems ein geeignetes Lizenzmodell ausgewählt werden. Fällt die Wahl auf Windows Server 2003, so bieten die Hilfsmittel zum IT-Grundschutz hierbei eine Unterstützung (siehe Auswahl geeigneter Lizenzierungsmethoden für Windows XP/Server 2003 in Hilfsmittel zum Windows Server 2003).

Umsetzung

Um einen einheitlichen Sicherheitsstandard zu erhalten, ist die Maßnahme M 4.318 Umsetzung sicherer Verwaltungsmethoden für Active Directory zu beachten. Des Weiteren sind die für die Administration des Verzeichnisdienstes zuständigen Personen auf Basis M 3.27 Schulung zur Active Directory-Verwaltung mit den ihnen zugeteilten Aufgabenbereichen vertraut zu machen.

Aufgrund ihrer für die gesamte Netzumgebung zentralen Bedeutung ist für die Domänen-Controller eines Unternehmens ein ausreichender physikalischer Schutz sicherzustellen (siehe M 4.313 Bereitstellung von sicheren Domänen-Controllern ). Um darüber hinaus den Sicherheitsstandard im Netz aufrecht erhalten zu können und Manipulationen der Domänen-Struktur und deren Domänen-Controllern zu verhindern, sind die in M 4.314 Sichere Richtlinieneinstellungen für Domänen und Domänen-Controller erwähnten Richtlinien entsprechend umzusetzen.

Unter Umständen ergibt sich bei der Umsetzung gleichzeitig eine Migration von bereits bestehenden Windows Verzeichnisdiensten. Die Maßnahme M 4.317 Sichere Migration von Windows Verzeichnisdiensten beschäftigt sich hierbei insbesondere mit der Verzeichnisdienst-Migration von bestehenden Windows-NT-Serversystemen.

Betrieb

Durch die Maßnahmen M 4.315 Aufrechterhaltung der Betriebssicherheit von Active Directory und M 4.316 Überwachung der Active Directory Infrastruktur soll sichergestellt werden, dass die relevanten Systeme des Informationsverbundes auf einem aktuellen Sicherheitsstand gehalten werden. Darüber hinaus ergeben sich durch die Relevanz der Domänen-Controller gesonderte Anforderungen an die Systemeinstellungen, welche in der Maßnahme M 4.138 Konfiguration von Windows Server als Domänen-Controller beschrieben sind.

Neben dem zugrunde liegenden Betriebssystem ist auch das Active Directory selbst sorgfältig zu administrieren (siehe M 4.315 Aufrechterhaltung der Betriebssicherheit von Active Directory ). Um rechtzeitig bei aufkommenden Problemen reagieren zu können, sollte die entsprechende Maßnahme M 4.316 Überwachung der Active Directory Infrastruktur berücksichtigt werden. Diese befasst sich nicht nur mit den Rückmeldungen bei der Überschreitung definierter Schwellenwerte, sondern auch mit der Protokollierung durchgeführter Systemänderungen.

Aussonderung

Die zur geregelten Aussonderung eines Domänen-Controller zu berücksichtigen Aspekte werden in der Maßnahme M 2.410 Geregelte Außerbetriebnahme eines Verzeichnisdienstes näher beschrieben.

Notfallvorsorge

Aspekte der Notfallplanung für Active Directory wird in der Maßnahme M 6.108 Datensicherung für Domänen-Controller thematisiert.

Nachfolgend wird das Maßnahmenbündel für den Baustein "Active Directory" vorgestellt:

Planung und Konzeption

M 2.229 (A) Planung des Active Directory
M 2.230 (A) Planung der Active Directory-Administration
M 2.231 (A) Planung der Gruppenrichtlinien unter Windows
M 2.411 (A) Trennung der Verwaltung von Diensten und Daten eines Active Directory
M 2.412 (B) Schutz der Authentisierung beim Einsatz von Active Directory
M 2.413 (C) Sicherer Einsatz von DNS für Active Directory
M 2.414 (B) Computer-Viren-Schutz für Domänen-Controller
M 3.64 (W) Einführung in Active Directory

Umsetzung

M 3.27 (A) Schulung zur Active Directory-Verwaltung
M 4.313 (A) Bereitstellung von sicheren Domänen-Controllern
M 4.314 (A) Sichere Richtlinieneinstellungen für Domänen und Domänen-Controller
M 4.317 (Z) Sichere Migration von Windows Verzeichnisdiensten
M 4.318 (A) Umsetzung sicherer Verwaltungsmethoden für Active Directory
M 5.89 (A) Konfiguration des sicheren Kanals unter Windows

Betrieb

M 4.138 (A) Konfiguration von Windows Server als Domänen-Controller
M 4.315 (A) Aufrechterhaltung der Betriebssicherheit von Active Directory
M 4.316 (B) Überwachung der Active Directory Infrastruktur

Aussonderung

M 2.410 (B) Geregelte Außerbetriebnahme eines Verzeichnisdienstes

Notfallvorsorge

M 6.108 (C) Datensicherung für Domänen-Controller

Stand: 13. EL Stand 2013