Bundesamt für Sicherheit in der Informationstechnik

G 2.126 Unzureichende Protokollierung von Änderungen am Active Directory

Das Active Directory stellt in einer Institution üblicherweise einen zentralen Punkt zur Authentisierung und Autorisierung beim Zugriff auf Netzressourcen dar. Änderungen an der Active-Directory-Struktur oder auch an einzelnen Domänen-Controllern können sich daher auf einen Großteil der IT einer Institution auswirken. Dies gilt sowohl für autorisierte als auch für unautorisierte Änderungen.

Werden sicherheitsrelevante Änderungen an der Konfiguration des Active Directory oder eines Domänen-Controllers, z. B. die Heraufstufung eines Servers zum Domänen-Controller, nicht dokumentiert oder protokolliert, so besteht die Möglichkeit, dass solche Änderungen nicht oder erst spät erkannt werden.

Die alleinige Protokollierung von sicherheitskritischen Vorfällen bzw. Änderungen ist jedoch nicht ausreichend. Damit sicherheitskritische Probleme erkannt werden können, muss zusätzlich auch eine regelmäßige Auswertung der Protokolle durchgeführt werden (siehe G 2.22 Fehlende oder unzureichende Auswertung von Protokolldaten ).

Beispiele:

  • Wird eine versehentlich oder vorsätzlich eingerichtete Vertrauensbeziehung zu einer externen Domäne aufgrund fehlender Protokollierung nicht erkannt, so können die Benutzer der externen Domäne unter Umständen unbemerkt auf die Systeme der betroffenen Institution zugreifen.
  • Werden die Protokolldaten eines Domänen-Controllers nicht regelmäßig ausgewertet, so wird unter Umständen nicht bemerkt, dass alle Benutzer dieser Domäne in die Gruppe der "Domänen-Admins" aufgenommen wurden. Die unerkannte Fehlkonfiguration kann beispielsweise dazu führen, dass Domänen-Mitglieder Vollzugriff auf die Systeme der Domäne erlangen und Schadsoftware (z. B. Backdoors oder Trojanische Pferde) auf den Rechnern der Domäne installieren. Eine solche Hintertür kann beispielsweise durch ein fehlerhaftes Skript im Rahmen der administrativen Tätigkeiten entstehen.

Stand: 10. EL Stand 2008

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK