Bundesamt für Sicherheit in der Informationstechnik

M 4.315 Aufrechterhaltung der Betriebssicherheit von Active Directory

Verantwortlich für Initiierung: Fachverantwortliche, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die in der Produktivumgebung eingesetzten Domänen-Controller sind durch die Administratoren auf dem vorangegangen Sicherheitsniveau zu halten und bei erhöhten Anforderungen entsprechend anzupassen. Für Änderungen an den Systemen, welche sich unter anderem durch die regelmäßigen Wartungsarbeiten ergeben, sind im Vorfeld schriftlich niedergelegte Richtlinien zu entwickeln.

Eine regelmäßige Virenprüfung der Domänen-Controller ist für einen sicheren Betrieb unerlässlich und sollte entsprechend den jeweiligen Besonderheiten (siehe M 2.414 Computer-Viren-Schutz für Domänen-Controller , Abschnitt Kritische Dateien auf Domänen-Controllern) erfolgen.

Laufende Aktualisierung mit Service Packs und Hotfixes

Die Domänen-Controller sollten in regelmäßigen Abständen durch entsprechende Maßnahmen, wie z. B. Windows Update, Service Packs und Hotfixes, gegen neue Gefährdungen geschützt werden. Auch wenn solche Updates sicherheitskritische Lücken schließen und zeitnah in die bestehende Struktur zu integrieren sind, müssen die Aktualisierungen im Vorfeld in einer Testumgebung geprüft werden, um mögliche negative Seiteneffekte innerhalb der Produktivumgebung rechtzeitig zu erkennen.

Sicherheit der Dienste-Administratorkonten

Die Verantwortung zur Steuerung der Konfiguration und Funktionsweise des Verzeichnisdienstes ist nur zuverlässigen, vertrauenswürdigen Personen zu übertragen. Dieser Personenkreis muss mit den gültigen Sicherheitsrichtlinien der Institution vertraut sein und Bereitschaft demonstrieren, diese konsequent durchzusetzen.

Die Zugriffsrechte der Dienste-Administratoren sollten auf das für ihre Arbeiten notwendige Minimum reduziert und ausschließlich für Aufgaben genutzt werden, welche erhöhte Rechte voraussetzen. Um die berechtigte Notwendigkeit für Personen mit Dienste-Administratorrechten sicherzustellen, ist diese in regelmäßigen Abständen zu überprüfen und bei Bedarf entsprechend anzupassen. Auch ist die Mitgliederanzahl der Administratorenkonten auf einem notwendigen Minimum zu halten. Die Benutzung ausreichend starker Passwörter für die Konten der Administratorengruppen ist zwingend erforderlich. Es sollte überlegt werden, Verfahren zur starken Authentisierung zu verwenden, wie z. B. die zusätzliche Nutzung von Chipkarten zur Anmeldung am Betriebssystem.

Gewährleistung der Aktualität von Basisinformationen

Unter dem Begriff "Basisinformationen" werden die wichtigsten Konfigurationsparameter des Active Directory zusammengefasst. Die Basisinformationen sollten mindestens folgende Punkte beinhalten:

  • Überwachungsrichtlinien
  • Gruppenrichtlinienobjekte und deren Zuweisung
  • bestehende Vertrauensstellungen
  • Organisationseinheit der Domänen-Controller und Dienst-Admins
  • Inhaber der Betriebsmasterfunktionen
  • Replikationstopologie
  • Datenbankeigenschaften
  • verwendete Service Packs und Hotfixes für Domänen-Controller und Administratorarbeitsstationen und deren aktueller Systemstatus
  • aktuell vorhandene Sicherungsmedien
  • Überprüfung der Sicherungsmedien
  • Überprüfung der aktuell benötigten Dienste-Administratorenberechtigungen

Mit Hilfe dokumentierter Basisinformationen ist eine Nachverfolgung und Überprüfung der am Active Directory durchgeführten Änderungen möglich. Die Basisinformationen sollten für alle Domänen-Controller in einer Basisdatenbank zusammengefasst werden. Diese Basisdatenbank bietet zusätzlich einen Überblick der aktuell eingesetzten Komponenten. Die Zuständigkeiten für die Pflege der Basisinformationen muss geklärt werden.

Prüffragen:

  • Werden regelmäßig Hotfixes und Service Packs auf dem Domänen-Controller eingespielt?

  • Werden die Auswirkungen der Hotfixes und Service Packs auf den Domänen-Controller zunächst in einer Testumgebung getestet?

  • Besitzen die Dienste-Administratoren auf dem Domänen-Controller nur die notwendigen Rechte?

  • Werden die Rechte der Dienste-Administratoren in regelmäßigen Abständen überprüft?

  • Werden alle notwendigen Parameter des Active Directory als Basisinformationen aktuell und nachvollziehbar festgehalten?

Stand: 13. EL Stand 2013