Privileged Account Management
Den Block gezielt setzen
Fortsetzung des Artikels von Teil 1
Sicherheitsmaßnahmen stoßen an ihre Limits
Jedoch haben diese präventiven Maßnahmen auch ihre Grenzen. So stößt eine Zwei-Wege-Authentifizierung bei einigen Nutzern auf Widerstand, da sie die Verwendung mehrerer Geräte zur Anmeldung, aufgrund einer Unterbrechung des Arbeitsablaufs, ablehnen. Sicherheitsfragen, die sich auf den privaten Bereich wie etwa Geburtsort oder Geburtsname beziehen, können Kriminelle aus den Angaben in den sozialen Medien ersehen. Darüber hinaus ist die Einrichtung von ESAE auch nicht trivial, denn sämtliche Administratorenkonten müssen mit ihren spezifischen Rechten berücksichtigt werden, was bei komplexen Strukturen leicht unübersichtlich wird. Auch können Konten von Endnutzern, denen bestimmte Rechte eingeräumt werden, nicht sofort erkannt und nicht gleichwertig abgesichert werden. Somit sollten die bestehenden Sicherheitsmaßnahmen in eine tiefergehende Active-Directory-Sicherheitsstrategie eingebunden werden. Um den Überblick über die verschiedenen Administratoren-Konten zu behalten, empfiehlt es sich, die verschiedenen Typen dieser Konten genau zu betrachten.
Administratoren-Konten auf Forest-Ebene
Die mächtigsten Accounts finden sich wohl auf der Forest-Ebene, also auf der hierarchisch höchsten. Hier sind zwei Account-Arten möglich: Einerseits gibt es Mitglieder der Gruppe Enterprise Admins, die die sämtlichen Domänen des Forests kontrollieren können. Sie verfügen über unlimitierte Rechte und können auf sämtliche Ressourcen zugreifen. Die zweite herausragende Gruppe auf Forest-Ebene sind die Schema-Admins, die ebenfalls über Administratorenrechte verfügen. Diese können das Schema, also das Grundgerüst des Active Directory, welches alle Objekte und ihre Attribute definiert, verändern. Da es nur selten notwendig ist, eine solche Anpassung vorzunehmen, empfiehlt es sich, diese Rechte nur bei anfallenden Arbeiten zu vergeben und anschließend wieder zu entziehen.
Zusätzlich existieren auf der Domänen-Ebene weitere sehr weit-gehend berechtigte Sicherheitsgruppen: Domain Admins, Administratoren sowie Account Operators. Mitglieder der Domain Admins besitzen die vollständige Kontrolle über die Domäne, während Mitglieder der Account Operators die Konten von Nutzern, Gruppen und Rechnern in der Domäne bearbeiten können. Auf lokaler Ebene ist die Vielfalt bei den Admin-Gruppen etwas größer. Hier gibt es neben den Administratoren, die Zugriff auf das Gerät haben, auch die für die Datensicherungen verantwortlichen Back-up Operator, die Power User, mit den Rechten, auch Legacy-Anwendungen ausführen zu dürfen, sowie die Hyper-V-Administratoren, die ohne lokale Admin-Rechte sämtliche Operationen des Hyper-V ausführen dürfen.
Eine Umgebung mit vielen Admin-Konten ist zuweilen etwas unübersichtlich. Das kann dazu führen, dass nicht mehr benötigte privilegierte Accounts bestehen bleiben und nicht abgeschaltet werden. Gefährlich wird das durch die Fülle an Rechten, die mit einigen dieser Konten einhergehen. Zur weiteren Unübersichtlichkeit führt auch die Verschachtelung der Admin-Konten, denn Active-Directory-Gruppen können entweder aus Admin-Accounts oder wiederum aus Gruppen bestehen. Wenn die Sicherheitsbeauftragten diese komplexe Struktur nicht nachvollziehen, können Kriminelle mittels Konten, die in Gruppen existieren, die wiederum Teil mehrerer anderer Gruppen sind etc., längere Zeit unerkannt agieren.
- Den Block gezielt setzen
- Sicherheitsmaßnahmen stoßen an ihre Limits
- Wichtige Punkte in der Gefahrenabwehr
Lesen Sie mehr zum Thema
