Bundesamt für Sicherheit in der Informationstechnik

G 3.49 Fehlerhafte Konfiguration des Active Directory

Die Windows-Server-Betriebssysteme ab Windows 2000 Server gestatten die Delegation einzelner administrativer Rechte - auch für Teilbereiche des Active Directory - an bestimmte Benutzer. Diese Delegation erfolgt durch die Vergabe detaillierter Einzelberechtigungen im Active Directory.

Durch die hohe Komplexität der Rechtevergabe im Active Directory, wie beispielsweise die Vergabe zahlreicher spezifischer Einzelberechtigungen für einzelne Objekttypen oder die Vererbung von Berechtigungen, kann es geschehen, dass

  • Administratoren Zugriff auf Bereiche des Active Directory haben, zu deren Administration sie nicht befugt sind, oder
  • Bereiche des Active Directory nicht durch Zugriffsrechte geschützt sind, so dass jeder Benutzer auf diese Daten zugreifen kann.

Die Gefahr des unberechtigten Zugriffs bei Fehlkonfiguration der Active-Directory-Zugriffsrechte erhöht sich insbesondere dadurch, dass mehrere Zugriffsschnittstellen auf das Active Directory existieren, z. B. Active Directory Service Interfaces ( ADSI ) oder Lightweight Directory Access Protocol ( LDAP ).

Werden Vertrauensstellungen zwischen Domänen eingerichtet, so können Benutzer einer Domäne auf Ressourcen einer anderen Domäne zugreifen. Daher kann eine mangelnde Planung von Vertrauensbeziehungen zwischen Domänen zu unerwünschten Zugriffsrechten auf die Ressourcen einer Domäne führen.

Besonders kritisch können Handlungen sein, die die Datenbankstruktur des Active Directory ändern:

  • Änderungen des Active Directory-Schemas können dazu führen, dass das bestehende Windows-System zu Softwarepaketen, die das Active Directory ebenfalls nutzen, inkompatibel wird. Da sich Änderungen des Schemas zum Teil nicht rückgängig machen lassen, kann dies dazu führen, dass das bestehende System komplett neu aufgesetzt werden muss.
  • Bei der Aufnahme eines personenbezogenen Attributes in den "Global Catalog" des Active Directory besteht die Gefahr, dass personenbezogene Daten auch jenseits des eigentlichen Adressatenkreises zugänglich sind.
  • Beispiel: Innerhalb einer Firma werden die internen Telefonnummern der Mitarbeiter im Active Directory abgelegt. Wenn die Rechner der Firma nur eine Domäne im Active-Directory-Baum eines größeren Unternehmensverbundes bilden, würden diese internen Telefonnummern bei Aufnahme in den "Global Catalog" an alle Domänen des Active-Directory-Baumes verteilt.

Damit eine sichere Konfiguration des Active Directory auch im laufenden Betrieb sichergestellt werden kann, müssen sicherheitsrelevante Konfigurationsänderungen nicht nur sorgfältig geplant, sondern auch protokolliert werden. Werden Domänen-Controller ohne ausreichende Protokollierung betrieben, so besteht die Gefahr, dass unautorisierte, sicherheitsrelevante Konfigurationsänderungen nicht erkannt werden und nicht rechtzeitig korrigiert werden können.

Stand: 10. EL Stand 2008

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK