Bundesamt für Sicherheit in der Informationstechnik

M 4.316 Überwachung der Active Directory Infrastruktur

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator

Der Sicherheitsstatus der Active Directory Infrastruktur wird über die Protokollierung der systemeigenen Ereignisse überwacht und bewertet. Die Protokolltiefe ist den jeweiligen Anforderungen anzupassen und sollte kontinuierlich überwacht werden.

Die Protokolldaten sollten regelmäßig ausgewertet werden. Zur Kontrolle sollten sie des Weiteren zusätzlich mit einem Referenzwert verglichen werden, der sich beispielsweise aus früheren Daten ermitteln lässt.

Active Directory

Die Auswertung der bei der Überwachung erzeugten Protokolldaten, kann, in Abhängigkeit von deren Umfang, manuell oder mit der Hilfe spezieller Überwachungssoftware erfolgen. In großen Active Directory Strukturen kann normalerweise eine rein manuelle Auswertung der Überwachungsdaten nicht mehr realisiert werden.

Die Ergebnisse der Sicherheitsüberwachung sollten in regelmäßig erstellten Berichten zusammengefasst und ausgewertet werden, damit grundlegende Sicherheitsprobleme frühzeitig erkannt und behoben werden können.

Bei der Protokollierung können auch Sicherheitswarnungen auftreten, auf die sofort reagiert werden muss, so wie es im Notfallplan (siehe auch M 6.106 Erstellung eines Notfallplans für den Ausfall eines Verzeichnisdienstes ) des Unternehmens bzw. der Behörde vorgesehen ist.

Es können grundsätzlich zwei Methoden angewandt werden, um Änderungen an sicherheitsrelevanten Konfigurationsparametern des Domänen-Controllers bzw. des Active Directory zu erkennen. Zum einen ist dies die Ereignisbenachrichtigung, zum anderen sind das Trendanalysen.

Für die Ereignisbenachrichtigung werden so genannte Schwellen- oder Grenzwerte für Änderungen von Konfigurationsparametern im Active Directory oder am Domänen-Controller selbst definiert. Wird ein Konfigurationsparameter abgeändert und somit ein zuvor definierter Grenzwert überschritten, so wird dieses Ereignis vom Betriebssystem protokolliert.

Im Rahmen der Trendanalyse werden festgelegte Parameter über einen längeren Zeitraum in regelmäßigen Abständen erfasst. Werden bei der Auswertung dieser Daten extreme Änderungen bemerkt, so könnte das auf sicherheitsrelevante Vorfälle hindeuten. Wird beispielsweise der freie Festplattenspeicherplatz in regelmäßigen Abständen (z. B. alle 5 Minuten) erfasst und ein dramatischer Anstieg des Verbrauches von Festplattenspeicher bemerkt, so kann das auf einen Denial-of-Service-Angriff ( DoS -Angriff) gegen den Domänen-Controller hinweisen.

Änderungen des Domänen-Controller Status

Änderungen an den Domänen-Controllern können die Sicherheit des Active Directory beeinflussen. Daher sollten mindestens die Bereiche Verfügbarkeit und Systemressourcen der Domänen-Controller überwacht werden:

Die Verfügbarkeit von Domänen-Controllern kann auf verschiedene Weise überwacht werden. Denkbar ist beispielsweise der Einsatz spezieller Überwachungssoftware. Alternativ können jedoch auch regelmäßige LDAP -Anfragen an die Domänen-Controller geschickt werden. Dabei kann mit dieser Methode nicht nur bestimmt werden, ob der entsprechende Domänen-Controller aktiv ist (der Test-Client erhält eine Antwort), sondern zusätzlich können aus der Antwortzeit auch Rückschlüsse auf die Systemauslastung des Domänen-Controllers gezogen werden.

Es ist außerdem sicherzustellen, dass Neustarts der Domänen-Controller erkannt werden, da ein nicht autorisierter Neustart von Domänen-Controllern auf einen Angriff hindeuten kann. Dementsprechend sind die Systemereignisprotokolle aller Domänen-Controller in einer Institution auf unautorisierte Systemneustarts zu untersuchen.

Zusätzlich zur direkten Verfügbarkeit von Domänen-Controllern sollten auch die Systemressourcen der Domänen-Controller überwacht werden. Eine Änderung der Systemressourcen muss nicht zwangsläufig auf einen Angriff hindeuten. Vielmehr kann die Ursache auch technischer Natur sein, z. B. Fehlkonfiguration oder Verwendung veralteter Hardware bei wachsenden Active-Directory-Strukturen.

Folgende Systemressourcen sollten auf allen Domänen-Controllern in einer Institution überwacht und bei Auffälligkeiten geeignete Gegenmaßnahmen ergriffen werden:

  • Prozentuale Prozessorauslastung (oberer Grenzwert: 80%)
  • Freier Speicherplatz auf dem Datenträger mit der Active-Directory-Datenbank in Prozent (unterer Grenzwert: 25%)
  • Verfügbarer Arbeitsspeicher in Prozent (unterer Grenzwert: 10%)
  • Bindungsdauer für LDAP-Verbindungen (Auffällig wäre eine ungewöhnlich starke Zunahme der Bindungsdauer.)
  • Anzahl erfolgreicher LDAP-Verbindungen pro Sekunde (Auffällig wäre eine ungewöhnlich starke Zunahme der LDAP-Verbindungen. Der jeweilige Grenzwert hängt hierbei von dem Datenaufkommen von LDAP Verbindungen innerhalb der Organisation ab.)

Änderungen im Active Directory

Werden Änderungen auf Domänenebene durchgeführt, so wirken sich diese meist auf alle Domänen-Controller, Mitgliedsserver, Benutzer und Arbeitsstationen aus. Folgende Änderungen sind in diesem Zusammenhang denkbar:

  • Ändern der domänenweiten Betriebsmasterfunktion
    Änderungen an den domänenweiten Betriebsmasterfunktionen wirken sich auf die gesamte Domäne aus. Zu den domänenweiten Betriebsmasterfunktionen gehört unter anderem der Emulationsmaster des Primären Domänen Controllers (PDC). Dies kann sich im Falle einer Fehlkonfiguration negativ auf das Gesamtkonstrukt der Domäne auswirken und zu weitreichenden Beeinträchtigungen innerhalb des Netzes führen. Eine im Vorfeld sorgfältig durchgeführte Planung hinsichtlich angedachter Änderungen an den Betriebsmasterfunktionen ist daher unabdingbar.
  • Ändern der Vertrauensstellungen
    Zwischen unterschiedlichen Domänen einer Organisation oder Behörde können Vertrauensbeziehungen eingerichtet werden. Änderungen an Vertrauensbeziehungen müssen unbedingt überwacht werden, damit insbesondere das Hinzufügen von Vertrauensbeziehungen, und damit unter Umständen erweiterte Rechte der Domänen-Benutzer schnellstmöglich erkannt werden.
  • Ändern des AdminSDHolder
    Das AdminSDHolder-Objekt wird vom Primären Domänen Controller (PDC) verwendet, um die Benutzer der Dienste-Administratorgruppen und die Dienste-Administratorengruppe selbst vor nicht autorisierten Veränderungen der Berechtigungen zu schützen. Dazu sollte vom PDC stündlich überprüft werden, ob die benutzerbestimmbaren Zugriffskontrolllisten (D ACL s, Discretionary Access Control Lists) der zuvor genannten Benutzerkonten mit der DACL des AdminSDHolder-Objekt übereinstimmen. Weichen die DACLs voneinander ab, so müssen die DACLs der Benutzerkonten an die Einstellung des AdminSDHolder-Objekts angepasst werden.
  • Änderungen an Gruppenrichtlinienobjekte und deren Zuweisung
    Änderungen an den Gruppenrichtlinien, wie z. B. Passwortrichtlinien für Domänenbenutzer, wirken sich auf die Domäne und damit auch auf alle Domänen-Controller der betroffenen Domäne aus und sind daher zu überwachen Darüber hinaus sind auch die Zuweisungen von Gruppenrichtlinienobjekten zu Domänen Containern sowie von Gruppenrichtlinienobjekten zur Organisationseinheit "Domänen-Controller" zu überwachen.
  • Ändern der Mitgliedschaft vordefinierter Dienste-Administratorgruppen
    Das unautorisierte Hinzufügen oder Entfernen von Benutzern in vordefinierten Dienste-Administratorgruppen, wie z. B. Administratoren oder Sicherungs-Operatoren, kann auf einen Angriff hindeuten. Daher sind Änderungen an Mitgliedschaft von Diensteadministratorgruppen zu überwachen.
  • Ändern der Überwachungsrichtlinien für eine Domäne
    Eine unautorisierte Änderung an den Überwachungsrichtlinien kann die Überwachung stören oder sogar komplett deaktivieren. Damit eine Deaktivierung der Überwachung erkannt werden kann, müssen die Überwachungsrichtlinien selbst auch überwacht werden.

Werden Änderungen durchgeführt, die sich auf die gesamte Active-Directory-Struktur, z. B. alle definierten Domänen, der Organisation oder der Behörde auswirken, so spricht man von Änderungen an der Gesamtstruktur. Änderungen an der Gesamtstruktur umfassen folgende Ereignisse:

  • Änderungen an der Einstufung von Domänen-Controllern
    Wird ein Domänen-Controller herauf- oder herabgestuft, so wird von Änderungen an der Domänen-Controller-Einstufung gesprochen.
  • Änderungen am Active-Directory-Schema
    Wird die Struktur der Verzeichnisdienstdatenbank verändert, z. B. bei Änderungen von Objektklassen oder Attributen innerhalb des Active Directory, so wird das Active-Directory-Schema geändert.
  • Änderungen der LDAP-Richtlinien
    Mit Hilfe von LDAP-Richtlinien können LDAP-Anfragen und damit ebenfalls der Zugriff auf die Active-Directory-Daten per LDAP eingeschränkt werden.
  • Änderungen an der Replikationstopologie zwischen Domänen-Controllern
    Unter Änderungen der Replikationstopologie wird das Erstellen, Löschen und Ändern von Active-Directory-Standorten, Standortverknüpfungen und Subnetzen verstanden.
  • Ändern des dSHeuristic-Attribut
    Das dSHeuristic-Attribut steuert das Verhalten des Active Directory, hierüber kann z. B. die Auflistung von Objekten aktiviert oder deaktiviert werden.
  • Änderungen der gesamtstrukturweiten Betriebsmasterfunktionen
    Die gesamtstrukturweiten Betriebsmasterfunktionen werden auch als Flexible Single Master Operations ( FSMO ) genannt. Zu den FSMO zählen die Schemamaster- und die Domänen-Master-Funktion.

Alle zuvor genannten Änderungsereignisse, sowohl auf Ebene einzelner Domänen, als auch in Bezug auf die Gesamtstruktur, sollten auf allen Domänen-Controllern einer Institution überwacht und ausgewertet werden. Wird bei der Auswertung der Sicherheitsüberwachungsprotokolle eines Domänen-Controller eine nicht autorisierte Änderung festgestellt, so sind entsprechende Notfallmaßnahmen einzuleiten (siehe auch M 6.106 Erstellung eines Notfallplans für den Ausfall eines Verzeichnisdienstes ).

Bei einigen Ereignissen ist aus den Protokolldateien nicht ersichtlich welche Objekte oder Attribute geändert wurden. Daher ist das Schema des Active Directory zu dokumentieren, damit Änderungen später gegebenenfalls durch manuellen Abgleich identifiziert und behoben werden können.

Kann die vollständige Behebung unautorisierter Änderungen im Active Directory nicht sichergestellt werden, so ist die Wiederherstellung der Gesamtstruktur in Erwägung zu ziehen.

In der Gruppe "Dienst-Admins" ist die Erstellung, Löschung und Änderung von Benutzerkonten in der Dienste-Administratorgruppe zu überwachen. Darüber hinaus sollte ein Hinzufügen oder Löschen von Administratorarbeitsstationen in der Organisationseinheit "Dienst-Admins" überwacht werden.

Wenn der Speicherplatz auf dem Domänen-Controller für die Active-Directory-Datenbank erschöpft ist, können keine neuen Objekte im Active Directory mehr angelegt werden. Daher sollte der Speicherplatz, der von Active-Directory-Objekten verwendet wird, kontinuierlich überwacht werden.

Mit einer derartigen Überwachung kann nicht nur der zur Neige gehende Speicherplatz für die Active-Directory-Datenbank verfolgt werden, sondern es können auch Objektüberflutungsangriffe erkannt werden, bei denen der Speicherplatzbedarf in vergleichsweise kurzer Zeit dramatisch ansteigt.

Für ein schnelles Eingreifen bei einem Objektüberflutungsangriff kann auf den Domänen-Controllern eine Reservedatei beliebiger Größe angelegt werden. Im Fall eines Speicherplatzangriffs kann die Reservedatei auf den betroffenen Domänen-Controllern gelöscht werden, um kurzfristig freien Speicherplatz zu schaffen und so den normalen Betrieb zu sichern.

Im Nachgang müssen die unerwünschten Objekte des Angriffs im ActiveDirectory ermittelt und entfernt werden.

Änderungen an kritischen Dateien

Sowohl auf den Domänen-Controllern selbst, als auch an den Administrationsarbeitsplätzen sollte eine Überwachung eingerichtet werden, mit der eine Veränderung an kritischen Dateien erkannt werden kann. Dabei sollten mindestens die Dateien überwacht werden, die zur Konfiguration des Betriebssystems oder der installierten Anwendungen verwendet werden. Darüber hinaus sollten wichtige ausführbare Dateien, z. B. Administrationswerkzeuge auf den Administratorarbeitsplätzen, ebenfalls auf Änderungen überwacht werden.

Für die Überwachung der Systemkonfiguration muss zunächst eine geeignete Software ausgewählt werden. Anschließend sollte eine vertrauenswürdige Basiskonfiguration der zu überwachenden Betriebssysteme erstellt werden.

Mit Hilfe der Überwachungssoftware wird auf Basis dieser Konfiguration ein Referenzabbild erstellt, das als Grundlage für zukünftige Überprüfungen verwendet wird. In regelmäßigen Abständen ist zu überprüfen, ob sich die aktuelle Konfiguration der Domänen-Controller oder Administratoren-Arbeitsplätze im Vergleich zur Referenzkonfiguration geändert hat. Werden Änderungen festgestellt, so ist der ursprüngliche Systemzustand schnellstmöglich wieder herzustellen.

Prüffragen:

  • Wird die Active Directory Infrastruktur anhand der systemeigenen Ereignisse überwacht und protokolliert?

  • Werden die Ergebnisse der Sicherheitsüberwachung des Active Directory regelmäßig ausgewertet?

  • Werden Verfügbarkeit und Systemressourcen der Domänen-Controller überwacht?

  • Werden Änderungen auf Domänen-Ebene und an der Gesamtstruktur des Active Directory überwacht, protokolliert und ausgewertet?

Stand: 13. EL Stand 2013