Bundesamt für Sicherheit in der Informationstechnik

M 2.229 Planung des Active Directory

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Eine grundlegende Voraussetzung für den sicheren Einsatz des Active Directory ist eine angemessene Planung im Vorfeld. Die Planung für ein Active Directory kann dabei in mehreren Schritten erfolgen. Es sollte zunächst ein Grobkonzept für die Struktur der Domäne erstellt und darauf aufbauend die einzelnen Teilaspekte konkretisiert werden. Die Planung betrifft dabei nicht nur Aspekte, die klassischerweise mit dem Begriff Sicherheit verknüpft werden, sondern auch normale betriebliche Aspekte, die Anforderungen im Bereich der Sicherheit nach sich ziehen können. Hinweise zum Aufbau und zur prinzipiellen Struktur eines Active Directory bietet die Maßnahme M 3.64 Einführung in Active Directory .

Im Rahmen der Active Directory Planung sind folgende Aspekte zu berücksichtigen:

  • Welche Active Directory-Struktur im Sinne der Aufteilung in Domänen und welche Anordnung der Domänen in Bäume (Trees) und Wälder (Forests) soll gewählt werden?
  • Welche Benutzer und Rechner sollen in welchen Domänen zusammengefasst werden?

Für jede Domäne muss entschieden werden,

  • welche OU-Objekte existieren sollen, wie diese hierarchisch angeordnet werden und welche Objekte diese jeweils aufnehmen sollen,
  • welche Sicherheitsgruppen benötigt werden und wie diese in OUs zusammengefasst werden,
  • welches administrative Modell umgesetzt wird (zentrale/dezentrale Verwaltung),
  • ob und an wen administrative Aufgaben delegiert werden sollen,
  • welche Sicherheitseinstellungen für verschiedene Typen von Rechnern und Benutzergruppen gelten sollen,
  • welche Einstellungen bei den Gruppenrichtlinien benötigt werden und nach welchem Konzept die Gruppenrichtlinien verteilt werden (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows und M 2.326 Planung der Gruppenrichtlinien für Clients ab Windows XP ).
  • welche Vertrauensstellungen von Windows-Server automatisch generiert werden und welche zusätzlichen Vertrauensstellungen (z. B. zu NT-Domänen oder externen Kerberos-Realms) eingerichtet werden müssen,
  • auf welche Active Directory-Informationen über die verschiedenen Active Directory-Schnittstellen (z. B. ADSI , LDAP ) von wem zugegriffen werden dürfen,
  • welche Active Directory-Objekte in den so genannten Global Catalog übernommen werden sollen, auf den in einem Forest global zugegriffen werden kann,
  • in welchem Modus die Domäne betrieben werden muss: müssen in einer Domäne noch Windows NT Backup-Domänen-Controller ( BDC s) betrieben werden, so muss die Domäne im "Mixed-Mode" betrieben werden. Sind keine BDCs vorhanden, kann die Domäne im "Native-Mode" betrieben werden.

Generell muss die geplante Active Directory-Struktur dokumentiert werden, dies trägt maßgeblich zur Stabilität, konsistenten Administration und damit zur Systemsicherheit bei. Es empfiehlt sich insbesondere festzuhalten, welche Schemaänderungen durchgeführt werden. Dabei sollten auch die Gründe für die Änderung dokumentiert sein.

Für jedes Active Directory-Objekt sollte dokumentiert sein:

Der Planung der Active Directory-Administration und des benutzten administrativen Modells kommt eine wichtige Aufgabe zu. Empfehlungen dazu finden sich zusammengefasst in Maßnahme M 2.230 Planung der Active Directory-Administration .

Die sicherheitsrelevanten Kernaspekte der Active Directory-Planung sind zusammengefasst:

  • Domänen begrenzen die administrative Macht von Administratoren. Administratoren können daher nur innerhalb einer Domäne verwaltend tätig werden, so dass ihre Verwaltungsbefugnis standardmäßig nicht über die Domänengrenze reicht. Dies gilt insbesondere im Verbund mit mehreren Domänen (Baum, Wald), so dass die oft geäußerten Bedenken, dass durch das standardmäßig transitive Vertrauensmodell auch administrative Berechtigungen über Domänengrenzen hinweg möglich sind, für normale Administratorenkonten ausgeräumt werden können (siehe jedoch Organisations-Admins unten).
  • Domänenübergreifende Zugriffe setzen voraus, dass in der Ziel-Domäne explizit Zugriffsberechtigungen für den Zugreifer aus einer anderen Domäne eingerichtet werden. Standardmäßig sind daher keine domänenübergreifenden Zugriffe möglich.
    Dies bedeutet, dass in einem Baum oder Wald ein Administrator einer Domäne "A" nur dann administrativ auf eine beliebige andere Domäne "B" zugreifen kann, falls der Domänenadministrator von "B" dem Administrator der Domäne "A" explizit Berechtigungen dazu einräumt (siehe jedoch Organisations-Admins).
  • Die Mitglieder der Gruppe Organisations-Admins genießen einen Sonderstatus, da sie im gesamten Forest Administratorrechte auf dem Active Directory besitzen. Insbesondere werden gesetzte Zugriffsrechte auf Active Directory-Objekte bei Zugriffen von Organisations-Admins ignoriert. Die Mitgliedschaft in der Gruppe der Organisations-Admins muss daher restriktiv vergeben und strikt kontrolliert werden. Es ist zu beachten, dass ein Organisations-Admin benötigt wird, um beispielsweise eine Subdomäne anzulegen.
  • Administrative Delegation wird durch die Vergabe von Zugriffsrechten auf Active Directory-Objekte und deren Attribute erreicht. Die Verteilung der Zugriffsrechte muss gemäß dem administrativen Modell erfolgen. Durch die Mechanismen für Zugriffsrechte im Active Directory (Vererbung, Kontrolle der Vererbung, Wirkungsbereich von Zugriffseinstellungen) können sehr komplexe Berechtigungsstrukturen aufgebaut werden. Diese können sehr schnell unübersichtlich und nicht mehr administrierbar werden, so dass sich durch Fehlkonfigurationen im Active Directory Sicherheitslücken ergeben können. Eine möglichst einfache Berechtigungsstruktur ist daher vorzuziehen.
  • Schemaänderungen sind kritische Operationen und dürfen nur von autorisierten Administratoren nach sorgfältiger Planung durchgeführt werden.

Abschließend sei darauf hingewiesen, dass Fehler in der Active Directory-Planung und den zugrunde liegenden Konzepten nach erfolgter Installation nur mit beträchtlichem Aufwand zu berichtigen sind. Nachträgliche Veränderungen in der Active Directory-Struktur, wie z. B. die Anordnung von Domänen in Bäume und Forests, ziehen unter Umständen das komplette Neuaufsetzen von Domänen nach sich.

Prüffragen:

  • Ist ein bedarfsgerechtes Active Directory-Berechtigungskonzept entworfen worden?

  • Sind administrative Delegationen mit restriktiven und bedarfsgerechten Berechtigungen ausgestattet?

  • Ist die geplante Active Directory-Struktur einschließlich etwaiger Schemaänderungen nachvollziehbar dokumentiert worden?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK