Bundesamt für Sicherheit in der Informationstechnik

G 2.68 Fehlende oder unzureichende Planung des Active Directory

Die globale Struktur des Active Directory, also die Gliederung in Domänen, hat weitreichende Auswirkungen auf die Sicherheit der Ressourcen, die im Active Directory verwaltet werden. Problematische Aspekte ergeben sich hier besonders dann, wenn für die verschiedenen Domänen unterschiedliche Sicherheitsanforderungen bestehen oder Domänen zu verschiedenen Organisationsbereichen gehören.

Bei fehlender oder unzureichender Planung können sich beispielsweise folgende domänenübergreifende Gefährdungen ergeben:

  • Alle Domänen in einem Active Directory müssen das gleiche Schema verwenden. Soll auch nur in einer Domäne eine Software installiert werden, die eine Schema-Änderung benötigt, müssen alle anderen Domänen diese Änderung mittragen. Inkompatible Schema-Änderungen durch verschiedene Softwareprodukte können dann dazu führen, dass Software nicht installiert werden kann oder fehlerhaft abläuft.
  • Bestimmte Benutzerdaten aus dem Active Directory ("Global Catalog") stehen in jeder Domäne zur Verfügung. Dabei könnten die Anforderungen des Datenschutzes verletzt werden, wenn Art und Detailtiefe dieser Informationen vorab nicht ausreichend abgestimmt wurden.
  • Administratoren der "Forest Root Domain" haben weitreichende Befugnisse auch in anderen Domänen. Ist der Zeitraum zu lange, bis ein Administratorkonto automatisch gesperrt wird, können die Administratorrechte von Dritten ausgenutzt werden.
  • Ist eine Domäne auf mehrere Standorte verteilt, die nur unzureichend miteinander vernetzt sind, kann es zu lange dauern, bis eine Kontosperrung an allen Standorten wirksam wird. Infolgedessen kann sich ein Benutzer, dessen Konto gesperrt worden ist, unter Umständen an anderen Standorten noch am System anmelden.

Auch innerhalb einer Domäne muss der Aufbau des Active Directory sorgfältig geplant werden, da sich sonst folgende Gefährdungen ergeben:

  • Werden Rechner und Benutzerkonten in den voreingestellten Containern "Computer" und "Benutzer" unterhalb der Domäne angeordnet, ist keine Gruppenrichtlinien-Konfiguration entsprechend verschiedener Typen von Benutzerkonten oder verschiedener Computertypen möglich. Dadurch könnte beispielsweise eine durch Gruppenrichtlinien erzwungene Einschränkung von Rechten auf einem betroffenen Computertyp umgangen werden.
  • Werden Organisations-Einheiten (Organizational Units, OUs) tief geschachtelt, so kann die Struktur der Domäne unüberschaubar werden, so dass das Active Directory anfälliger für Fehlkonfigurationen wird. Zudem sinkt die Performance des Active-Directory-Dienstes mit der Schachtelungstiefe, wenn OUs zu tief, d. h. über mehr als 4 Ebenen, geschachtelt werden.

Stand: 10. EL Stand 2008