Bundesamt für Sicherheit in der Informationstechnik

M 4.318 Umsetzung sicherer Verwaltungsmethoden für Active Directory

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator

Zur Administration einer Domäne werden Verantwortlichkeiten und Aufgabenfelder in weitere Untergruppen verteilt. Da die Benutzerkonten in den Verwaltungsgruppen "Dienste-Administratoren" (verantwortlich für das Ausführung der Aufgaben, die zur Bereitstellung des Verzeichnisdienstes erforderlich sind) und "Datenadministratoren" (verantwortlich für das Verwalten der Inhalte, welche in Active Directory gespeichert oder durch Active Directory geschützt werden) besonders weitreichende Zugriffsrechte haben, sind für deren Schutz entsprechende Vorkehrungen zu treffen:

Dienste-Administratorkonten

In jeder Domäne der Gesamtstruktur wird das Standardkonto "Administrator" bei der Installation angelegt. Als Standardkonto ist dieses Benutzerkonto im besonderen Maße Angriffen ausgesetzt. Da das Administrator-Konto nicht deaktiviert oder gelöscht werden kann, sollte es als Schutzmaßnahme umbenannt werden. Bei der Umbenennung ist darauf zu achten, dass auch die Beschreibung des Administrator-Kontos abgeändert wird. Nachdem das Konto umbenannt wurde, sollte anschließend ein unprivilegiertes Konto mit Namen "Administrator" eingerichtet werden, das im täglichen Betrieb nicht verwendet werden darf. Bei der Auswertung der Protokoll-Dateien kann so erkannt werden, ob es erfolgreiche oder nicht erfolgreiche Anmeldungen an dieses unprivilegierte Benutzerkonto gab. Dies würde auf einen Angriffsversuch hindeuten.

Die Anzahl der Dienste- und Datenadministratoren ist auf ein Minimum zu beschränken. Routinemäßige Administrations- und Verwaltungsaufgaben, z. B. Verwaltung der Domänen-Benutzer, die nicht die Konfiguration des Active Directory selbst betreffen, sollten nicht von Dienste-Administratoren durchgeführt werden, sondern an Datenadministratoren delegiert werden.

Die Administratorkonten sollten möglichst sparsam eingesetzt werden. Unnötige Anmeldung an der Domäne mit administrativen Rechten sollten vermieden werden. Daher sollten die Administratoren einer Institution für alltägliche, nichtadministrative Aufgaben, z. B. Informationsbeschaffung im Internet, unprivilegierte Benutzerkonten verwenden.

Die Verwaltung von Dienste-Administratorkonten darf ausschließlich von Mitgliedern der Dienste-Administratorgruppe durchgeführt werden. Insbesondere Benutzer mit weniger Privilegien, z. B. Datenadministratoren, dürfen keine Änderungen an Dienste-Administratorkonten vornehmen, da sich die weniger privilegierten Nutzer ansonsten erweiterte Rechte einräumen könnten.

Daher sollte zur Verwaltung der Dienste-Administratorkonten eine eigene Organisationseinheit, z. B. Dienst-Admins, in der Benutzerverwaltung des Active Directory angelegt werden. Die Berechtigungen für diese Unterstruktur müssen dabei wie folgt gewählt werden:

  • Vererbung der Berechtigungen von übergeordneten Objekten deaktivieren
  • Zugriffsberechtigungen auf die einzurichtende Organisationseinheit (inklusive untergeordnete Objekte)
    • Administratoren: Vollzugriff
    • Organisations-Admins: Vollzugriff
    • Domänen-Admins: Vollzugriff
  • Prä-Windows-2000-kompatible Zugriffsberechtigungen für Benutzerobjekte, falls zutreffend
    • Inhalt auflisten
    • Alle Eigenschaften lesen
    • Berechtigungen lesen

Die Dienste-Administratorgruppen (Domänen-Admins, Organisations-Admins und Schema-Admins) werden anschließend in die neue Unterstruktur verschoben. Darüber hinaus sind die administrativen Benutzerkonten der Domänenadmins in die Organisationseinheit "Benutzer und Gruppen" und die Konten der Arbeitsstationen in die Organisationsstruktur "Administrator-Arbeitsstationen" der neuen Unterstruktur zu verschieben. Dabei ist zu beachten, dass Domänen-Controller-Konten nicht verschoben werden dürfen.

Zusätzlich sollten sowohl die Protokollierung von Änderungen, Löschungen und Einrichtung von Dienste-Administratorkonten und Arbeitsstationen sowie Änderungen an den Richtlinien überwacht werden.

Da einige der vordefinierten Dienste-Administratorkonten nicht in die neu erstellte Unterstruktur verschoben werden können, müssen diese Konten gesondert geschützt werden.

Im Active Directory werden die geschützten Dienste-Administratorkonten regelmäßig überprüft. Dabei werden die Sicherheitseinstellungen der geschützten Konten mit den Sicherheitsbeschreibungen des AdminSDHolder-Objekts (im Systemcontainer "CN=AdminSDHolder, CN=System, DC=Domänen-name") überschrieben. Der entsprechende Prozess, mit dessen Hilfe das Überschreiben angestoßen wird, startet nach fest vorgegebenen Intervallen (15 Minuten nach dem Systemstart und anschließend jede halbe Stunde).

Dieser Mechanismus gilt auf Windows-2000-Server-Systemen für die Benutzergruppen "Administratoren", "Domänen-Admins", "Organisations-Admins" und "Schema-Admins". In der Betriebssystemversion Windows Server 2003 wurde der Mechanismus auf die Gruppen "Serveroperatoren", "Kontenoperatoren", "Sicherungsoperatoren", "Druckoperatoren" und "Zertifikat-Herausgeber" erweitert.

Detaillierte Hinweise für die einzustellenden Berechtigungen auf das AdminSDHolder-Objekt können den Hilfsmitteln zum IT-Grundschutz (siehe Berechtigungen auf AdminSDHolder-Objekt in Hilfsmittel zum Active Directory) entnommen werden.

Die Personen der Dienste-Administratorengruppen müssen sowohl vertrauenswürdig sein, als auch über ausreichend sichere Kenntnisse hinsichtlich der Active-Directory-Administration verfügen. Damit eine geradlinige Umsetzung der Sicherheitsrichtlinien der Institution gewährleistet werden kann, müssen die Dienste-Administratoren mit den entsprechenden Richtlinien vertraut sein.

Die Mitgliederliste der Dienste-Administratorgruppen darf ausschließlich aus Benutzern der eigenen Active-Directory-Gesamtstruktur bestehen. Wird Dienste-Administratoren aus entfernten Domänen vertraut, so vertraut die Institution automatisch auch den Sicherheitsmaßnahmen der entfernten Institution. Da diese Sicherheitsmaßnahmen in der Regel nicht beeinflusst werden können, ist für institutionsfremde Benutzer ein Benutzerkonto in der eigenen Gesamtstruktur einzurichten. Hierdurch können die Zugriffe auf die eigene Domäne besser reglementiert werden und es wird verhindert, dass Benutzer auf die Domäne zugreifen, deren Rechte aufgrund der automatischen Vertrauensregelung nicht bekannt sind.

Aufgrund der weitreichenden Berechtigungen sind Dienste-Administratorkonten bevorzugte Angriffsziele. Daher wird bei erhöhten Sicherheitsanforderungen empfohlen, die Zugehörigkeitsinformationen aller Dienste-Administratorgruppen für nicht privilegierte Benutzer zu unterbinden.

Dabei ist jedoch zu beachten, dass einige Serverapplikationen den lesenden Zugriff auf die Mitgliederliste der Dienste-Administratoren für einen störungsfreien Betrieb brauchen. Daher ist im ersten Schritt zu ermitteln, ob derartige Serveranwendungen in der Institution verwendet werden.

Die Benutzerkonten, unter denen die identifizierten Serverprozesse gestartet werden, sind in einer eigenen Gruppe, z. B. Serveranwendungen, zusammenzufassen. Anschließend werden folgende Berechtigungen in der ACL des AdminSDHolder Objekts für diese Gruppe vergeben:

  • Inhalt auflisten
  • Alle Eigenschaften lesen
  • Berechtigungen lesen

Der Zugriff kann somit auf die authentisierten Benutzer eingegrenzt werden, die über einen lesenden Zugriff auf die Mitgliederliste verfügen müssen.

Da das Verbergen der Gruppenzugehörigkeit für Dienste-Administratorgruppen Auswirkungen auf den Betrieb haben kann, wird dringend empfohlen, die oben beschriebenen Änderungen am AdminSDHolder Objekt im Vorfeld auf mögliche Auswirkungen zu überprüfen.

Die Mitglieder der Active-Directory-Gruppe "Sicherungsoperatoren" sind als Dienstadministratoren anzusehen, da sie Systemdateien des Domänen-Controllers wiederherstellen können. Die Anzahl der Mitglieder dieser Benutzergruppen sollte möglichst klein gehalten werden. Daher sind Administratoren, die für die Sicherung und Wiederherstellung von Anwendungsservern innerhalb des ActiveDirectory verantwortlich sind, nicht in die Active-Directory-Gruppe "Sicherungsoperatoren" einzutragen. Vielmehr sind die entsprechenden Benutzerkonten in den lokalen Gruppen "Sicherungsoperatoren" der Anwendungsserver einzutragen.

Die Active-Directory-Gruppe "Kontenoperatoren" sollte nicht für die Datenverwaltung, z. B. Kontenverwaltung, verwendet werden, da Mitglieder die Möglichkeit haben, die eigenen Rechte auszuweiten. Aus Sicherheitsgründen sollten sich daher in der Gruppe "Kontenoperatoren" keine Mitglieder befinden.

Ähnliches gilt für die Active-Directory-Gruppe "Schema-Admins". Da Änderungen am Schema des ActiveDirectory normalerweise sehr selten sind, sollten vertrauenswürdige Administratoren nur solange zur Gruppe "Schema-Admins" hinzugefügt werden, wie die Berechtigungen auch tatsächlich benötigt werden. Sobald die Änderungen am Schema erfolgt sind, sollten die Mitglieder wieder aus der Gruppe entfernt werden.

Die Benutzerkonten der Gruppen "Organisations-Admins" und "Domänen-Admins" in der Stammdomäne der Active-Directory-Gesamtstruktur einer Institution sind aufgrund der weitreichenden Berechtigungen besonders zu schützen. Daher sollten jedem dieser Konten zwei Administratoren zugewiesen und das Passwort in zwei Hälften geteilt werden. Jedem der beiden Administratoren darf jeweils nur eine Hälfte des Passworts bekannt sein, damit innerhalb des Benutzerkontos nur unter Beachtung des Vier-Augen-Prinzips gearbeitet werden kann. So kann die unbemerkte Nutzung von Dienste-Administratorkonten der Stammdomäne in der Gesamtstruktur des Active Directory vermieden werden.

Alternative Methoden zur Durchsetzung des Vier-Augen-Prinzips, wie z. B. die Verwendung von Chipkarten, wobei PIN und Chipkarte voneinander getrennt werden, sind ebenfalls denkbar.

Neben der Absicherung der Dienste- und Datenadministratorkonten, sind ebenfalls die Arbeitsplätze der Administratoren wie folgt abzusichern:

  • Die Benutzerkonten der Administratoren sollten so eingerichtet werden, dass die Konten nur von bestimmten Arbeitsplätzen aus verwendet werden können. Kompromittierte Administratorkonten können so nur noch von bestimmten Arbeitsstationen aus verwendet werden.
  • Nach 5 Minuten Inaktivität durch den Benutzer ist die automatische Sperrung zu aktivieren. Dabei ist darauf zu achten, dass zur Aufhebung der Konsolensperrung keine zwischengespeicherten Daten verwendet werden dürfen, sondern zwingend eine erneute Authentisierung am Domänen-Controller erfolgen muss. Dazu muss der Wert des Registrierungsschlüssels ForceUnlockLogon im Verzeichnis HKLM\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon\ auf den Wert "1" gesetzt werden. Dieser Registrierungseintrag gilt für die Windows-Versionen 2000, XP und Vista.
  • Auf den Arbeitsstationen der Administratoren müssen Viren-Schutzprogramme eingesetzt werden.
  • Anwendungen sollten nicht im Kontext der Administratoren ausgeführt werden. Beim Hinzufügen einer neuen Arbeitstation zur Domäne ist daher darauf zu achten, dass die Domänen-Admins nicht automatisch zu der lokalen Gruppe der Administratoren der Arbeitsstation hinzugefügt werden.
  • Prozesse sollten nicht mit den Berechtigungen der Domänen-Admins ausgeführt werden. Stattdessen sollte der Sicherheitskontext der lokalen Administratorgruppe der jeweiligen Arbeitsstation verwendet werden.
  • Der Datenverkehr zwischen den Arbeitsstationen der Administratoren und den Domänen-Controllern ist entsprechend abzusichern. Hierzu sollten die LDAP -Paketsignaturen aktiviert werden (Dafür ist der Registrierungsschlüssel LDAPClientIntegrity in dem Windows-Registry-Pfad HKLM\System\CurrentControlSet\Services\LDAP\ auf den Wert "2" zu setzen). Dabei ist zu berücksichtigen, dass diese Option bei Windows 2000 Server erst ab ServicePack 3 zur Verfügung steht.

Für die Remoteadministration von Domänen-Controllern sollten ausschließlich Protokolle verwendet werden, die eine Verschlüsselung des Datenverkehrs ermöglichen.

Datenadministratorkonten

Grundsätzlich hängen die Strukturen und Berechtigungen der Datenadministratorenkonten stark von der Struktur der jeweiligen Institution ab. Für die im Folgenden aufgeführten Aspekte ist daher zu verifizieren, ob sie sich mit den Anforderungen der Organisation verbinden lassen.

Die Delegierung der Datenverwaltung erfolgt über Gruppen, denen die entsprechenden Benutzerrechte zugewiesen werden. Auf die Mitglieder dieser Gruppen werden die Gruppenrichtlinieneinstellungen angewendet. Nach diesen Schritten genügt es, für die Delegierung Benutzerkonten zu den erstellten Gruppen hinzuzufügen. Das gewährleistet größtmögliche Sicherheit und ermöglicht es den Administratoren, ihre übertragenen Aufgaben weiterhin zu erfüllen.

Der Zugriff auf die Gruppenrichtlinien ist auf vertrauenswürdige Personen einzuschränken. Benutzer, deren Konten die Erstellung und Änderung von Gruppenrichtlinieneinstellungen zulassen, können anderen Benutzerkonten über diese Richtlinien höhere Berechtigungen einräumen und müssen folglich vertrauenswürdig sein.

Datenadministratoren werden als Ersteller eines Objektes gleichzeitig auch dessen Besitzer. Im Zugriffssteuerungsmodell von Windows Server 2003 verfügt der Besitzer eines Objektes über Vollzugriff auf dieses Objekt. Dazu gehört auch die Möglichkeit, die ACL des Objektes zu ändern. Der Besitzer eines Objektes verfügt außerdem über Vollzugriff auf alle untergeordneten Objekte. Er hat des Weiteren die Möglichkeit, die ACL-Vererbung von übergeordneten Objekten zu sperren und den Zugriff von Dienste-Administratoren auf dieses Objekt zu blockieren.

Es ist sicherzustellen, dass die Gruppen "Administratoren" bzw. "Domänenadministratoren" in den einzelnen Domänen Besitzer des Domänenstammobjektes für die jeweilige Domänenpartition sind. Die Besitzer dieser Partitionsstammobjekte können über vererbliche Access Control Entries (ACEs) die Sicherheitseinstellungen aller anderen Objekte in dieser Partition ändern.

Es ist sicherzustellen, dass bei der Planung von Kontenverwaltungsaufgaben die Gruppenzugehörigkeit in einem delegierten Bereich von einem einzigen Datenadministrator geändert wird oder aber die Aufgabe unter Abstimmung weniger Datenadministratoren erfolgt. Falls im Rahmen der Replikation ein Konflikt zwischen zwei gleichzeitigen Änderungen der Gruppenzugehörigkeit durch verschiedene Domänen-Controller festgestellt wird, hat die aktuellste Änderung an einem Konto Vorrang. Bis zur Serverrepliktation ist die auf dem jeweiligen Server eingerichtete Änderung gültig.

Der Einsatz von domänenlokalen Gruppen für die Steuerung der Leseberechtigung für Objektattribute, die in den globalen Katalog repliziert werden, sollte vermieden werden, da hierbei fälschlicherweise der Objektzugriff verweigert oder gewährt werden könnte. Um dennoch Zugriffe auf die Daten des globalen Katalogs zu steuern, sollten stattdessen globale oder universelle Gruppen verwendet werden.

Prüffragen:

  • Sind die Benutzerkonten der Dienste-Administratoren und der Datenadministratoren des Active Directory angemessen abgesichert?

  • Ist die Anzahl der Dienste-Administratoren und der Datenadministratoren des Active Directory das notwendige Minimum vertrauenswürdiger Personen reduziert?

  • Wurde das Standardkonto "Administrator" umbenannt und ein unprivilegiertes Konto mit dem Namen "Administrator" erstellt?

  • Werden alltägliche, nichtadministrative Aufgaben mit unprivilegierten Benutzerkonten durchgeführt?

  • Ist sichergestellt, dass die Verwaltung von Dienste-Administratorkonten ausschließlich von Mitgliedern der Dienste-Administratorgruppe erfolgt?

  • Ist die Gruppe "Kontenoperatoren" leer?

  • Werden Administratoren der Gruppe "Schema-Admins" nur temporär für den Zeitraum der Schema-Änderungen zugewiesen?

  • Existiert für die Administration der Stammdomäne für die Gruppen "Organisations-Admins" und "Domänen-Admins" ein Vier-Augen-Prinzip?

  • Sind die Arbeitsplätze zur Administration des Active Directory ausreichend abgesichert?

  • Wird bei Remoteadministration der Domänen-Controller der Datenverkehr verschlüsselt?

  • Wird sichergestellt, dass die Gruppen "Administratoren" bzw. "Domänenadministratoren" Besitzer des Domänenstammobjektes der jeweiligen Domäne sind?

  • Wird der Einsatz von domänenlokalen Gruppen für die Steuerung der Leseberechtigung für Objektattribute vermieden?

Stand: 13. EL Stand 2013