Microsoft Active Directory (AD) ist ein zentraler Bestandteil vieler Unternehmensnetzwerke, der die Identitäten verwaltet und Zugriffsberechtigungen für diese ermöglicht. Doch die Wichtigkeit der Active Directory macht sie zu einer empfindlichen Zielscheibe für Angreifer. Ein erfolgreicher Angriff erlaubt Zugriff auf wichtige Zugangsdaten sowie Unternehmensdaten und kann erhebliche Auswirkungen auf die Operation Ihres Unternehmens haben. Die Implementierung von Sicherheitsrichtlinien für Ihre Active Directory stellt daher einen wichtigen Schritt für die digitale Sicherheit Ihres Unternehmens dar.
Was sind Active Directory Security Best Practices?
Hierbei geht es um konkrete Maßnahmen, die Administratoren umsetzen können, um Angreifern so wenig Angriffsfläche wie möglich zu geben und potenzielle Schäden so gering wie möglich zu halten.
In Folge stellen wir Ihnen 10 Best Practices vor, um den Schutz Ihrer Active Directory zu verbessern:
- Prinzip der minimalen Rechtevergabe
- Tiering nach ESAE (Enhanced Security Administrative Environment)
- Moderne Passwort Richtlinien
- Implementierung von Multi-Faktor-Authentifizierung (MFA)
- Regelmäßige Überprüfung von Benutzerkonten und Berechtigungen
- SMBv1, LM und NTLMv1 deaktivieren
- Sicherung von Domain Controllern
- Monitoring und Alerting
- Disaster Recovery Planung
- Regelmäßige Sicherheitsaudits und Compliance-Checks
Prinzip der minimalen Rechtevergabe
Starten Sie mit dem Grundsatz, Benutzerkonten nur die minimal notwendigen Zugriffsrechte zu erteilen. Dies minimiert das Risiko, dass ein kompromittiertes Konto Schaden anrichten kann.
Tiering nach ESAE (Enhanced Security Administrative Environment)
Administrative Rechte sollten nur auf Konten verwendet werden, die sie unbedingt benötigen, und auch dann nur bei Bedarf. Die tägliche Arbeit sollte mit Konten mit minimalen Rechten erfolgen.
Admins empfehlen mit getrennten Konten gemäß dem ESAE-Ansatz. Konten für administrative Aufgaben (Tier0 bis Tier2) sowie ein regulärer Account für tägliche Aufgaben. Die administrativen Konten sind niemals Mitglied in einer administrativen Gruppe, sondern der Zugriff wird über Authentication Mechanism Assurance (AMA) in Verbindung mit SmartCard / MFA gesteuert.
Um maximale AD Security zu garantieren, arbeiten einige Unternehmen mit mehrstufigen Accounts:
- regulärer Account
- Account für Tier0-Aufgaben (eg Domänenadministration)
- Account für Tier1-Aufgaben (eg Serveradministration)
- Account für Tier2-Aufgaben (eg Clientadministration)
In Verbindung mit AMA besteht im Falle einer Kompromittierung kein Risiko für weiteren Schaden durch das übernommene Konto.
Moderne Passwort Richtlinien
Herkömmliche Passwort-Richtlinien bieten keinen ausreichenden Schutz für moderne Angriffe. Häufig werden Spray-Angriffe genutzt, die eine große Menge bekannter Passwortkombinationen auf eine Vielzahl von Nutzeraccounts in einem System anwenden. In Anbetracht dessen haben Organisationen wie NIST ihre Passwort-Richtlinien angepasst.
Wir empfehlen folgende Passwort Best Practices für Ihr AD:
Übliche/häufig genutzte Passwörter verbieten
Häufig genutzte Passwortkombinationen sind einfach zu hacken und bilden ein enormes Sicherheitsrisiko. Sensibilisieren Sie andere Nutzer dafür, Standardpasswörter zu vermeiden.
Komplexität der Passwörter reduzieren
Sehr komplexe Passwörter können verschiedene Probleme aufweisen. Zum einen sind sie sehr schwer zu merken. Zum anderen können solche automatisch erstellen Passwörter Muster aufweisen, welche Hacker leicht entschlüsseln können. Erhöhen Sie stattdessen die Passwortlänge.
Länge der Passwörter erhöhen
Erhöhen Sie die Länge Ihrer Passwörter auf ungefähr 12 Zeichen. Indem Sie Phrasen in Kombination mit Zahlen und Sonderzeichen nutzen, können Sie starke Passwörter erstellen, die Sie sich dennoch leicht merken können. Standardsätze wie “thesky2isblue!” sollten jedoch vermieden werden.
Passwörter nicht wechseln!
Der häufige Austausch von Passwörtern führt in vielen Fällen dazu, dass Nutzer langfristig Passwörter erstellen, die auf leicht erkennbaren Mustern oder Standardsätzen basieren. Um das zu vermeiden, sollten Passwörter lediglich nach Kompromittierung geändert werden.
Implementierung von Multi-Faktor-Authentifizierung (MFA)
Kompromittierte Konten sind keine Seltenheit, insbesondere innerhalb von Systemen mit vielen Nutzern. Während es schwer ist, die Zugangsdaten hundertprozentig zu schützen, gibt es einige Maßnahmen, den Zugang trotzdem zu verwehren.
MFA bietet eine solche Sicherheitsebene, indem sie Benutzer auffordert, zwei oder mehr Nachweise (Faktoren) zu erbringen, um ihre Identität zu beweisen. Sollten Nutzername und Passwort beispielsweise im Falle eines erfolgreichen Phishing-Versuchs bekannt werden, benötigt der Angreifer nun weitere Zugangsdaten, um Zugang zu den jeweiligen Systemen zu erlangen.
MFA über physikalische Geräte, wie zum Beispiel Yubico YubiKey 5 NFC, bieten gleich mehrere Vorteile:
- phishing-resistant: können nicht gephished werden
- Azure-tauglich: durch FIDO2 können bis zu 25 Identitäten in EntraID adressiert werden
- On-Premises AD-tauglich: durch PIV können bis zu 25 Identitäten im Active Directory adressiert werden
- AMA-tauglich: durch die Zertifikate im PIV-Modul kann AMA genutzt werden.
Regelmäßige Überprüfung von Benutzerkonten und Berechtigungen
Durch die regelmäßige Überprüfung und Anpassung von Benutzerrechten stellen Sie sicher, dass nur autorisierte Benutzer Zugriff haben. Dies verhindert, dass Zugangsrechte auf Accounts liegen, die aktuell nicht mehr benötigt werden. Damit kann der Angriffsspielraum effektiv verringert werden.
SMBv1, LM und NTLMv1 deaktivieren
Bei SMBv1, LM und NTLMv1 handelt es sich um alte Protokolle, die vor modernen Bedrohungen nicht mehr ausreichend geschützt sind.
Windows Versionen ab 10 und 11 und Windows Server 2019 weisen kein aktives SMBv1 mehr auf, anders als LM und NTLMv1. Die Deaktivierung kann auf älteren Geräten zwar zu Kompatibilitätsproblemen führen, dennoch rät Microsoft dringend zur Aktualisierung.
LM und NTLMv1 sind problematisch, weil es eine veraltete Kryptographie für die Erstellung des Passwort-Hashes benutzt. Zusammen mit schwachen Passwörtern stellt das Protokoll ein enormes Sicherheitsrisiko dar. Da die Deaktivierung von LM und NTLMv1 jedoch mit Kompatibilitätsproblemen einher geht, liegt es an Admins herauszufinden, welche Anwendungen, Clients und Server die LM oder NTLMv1-Authentifizierung noch benötigen (z. B. NAP von Microsoft) um das Protokoll weitestgehend einschränken zu können.
Übrigens – weitere Sicherheitsrisiken für Ihr Active Directory habe ich hier zusammengefasst: 10 Schwachstellen, die Ihr Active Directory verwundbarer machen
Sicherung von Domain Controllern
Um das Sicherheitsrisiko für Domain Controller zu minimieren, können Sie die folgenden Schritte durchführen:
- RC4-Verschlüsselung bei Kerberos V5 abschalten
- Computerkennwörter von Domain Controllern 1-mal pro Tag ändern lassen
- Systemlaufwerke und ggf. das Laufwerk, auf dem die AD-Datenbank liegt, verschlüsseln (beispielsweise mit Microsoft Bitlocker)
- Windows LAPS für das DRSM-Konto aktivieren
Monitoring und Alerting
Um das Active Directory effektiv auf Anzeichen von Kompromittierung zu überwachen, sind regelmäßige Kontrollen verschiedener Ereignisse essenziell. Dafür gilt es geeignete Lösungen zu implementieren.
Folgende Ereignisse sollten regelmäßig überprüft werden:
- Änderungen an privilegierten Gruppen wie Domain-Admins, Enterprise-Admins und Schema-Admins
- Anstiege fehlgeschlagener Anmeldeversuche
- Zunahme an Kontosperrungen
- Deaktivierung oder Entfernung von Antivirensoftware
- Alle Aktivitäten, die von privilegierten Konten ausgeführt werden
- Anmelde-/Abmeldeereignisse
- Nutzung lokaler Administratoren Accounts
- Herabstufung des Verschlüsselungsalgorithmus bei Kerberos V5
Disaster Recovery Planung
Erfolgreiche Cyberangriffe können Unternehmen komplett herunterfahren und Produktionen zum Stoppen bringen. Im Falle eines erfolgreichen Angriffs können Sie Schäden minimieren, indem Sie einen umfassenden Plan vorbereiten, um eine schnelle Wiederherstellung des AD-Systems zu ermöglichen.
Hier sind einige Elemente, die in einen Incident-Response-Plan einfließen sollten:
- Erstellung einer Incident-Response-Richtlinie
- Erstellung von Verfahren für die Durchführung von Incident-Handling und Berichterstattung
- Festlegung von Verfahren zur Kommunikation mit externen Parteien
- Etablierung von Reaktionsteams und Führungskräften
- Priorisierung von Servern
- Durchführung von Durchläufen und Schulungen
Regelmäßige Sicherheitsaudits und Compliance-Checks
Führen Sie regelmäßig Audits durch, um die Einhaltung der Sicherheitsrichtlinien sicherzustellen und potenzielle Schwachstellen aufzudecken.
Die Implementierung dieser Best Practices trägt dazu bei, Ihr Active Directory gegen die wachsenden Cyberbedrohungen zu wappnen und bildet eine solide Basis für die Sicherheit Ihres Netzwerks.
Wie IQunit Sie unterstützen kann
Als langjährige IT-Experten bieten wir IT-Schulungen für Professionals. Im Rahmen unserer 5-tägigen Essential Active Directory 2025 Schulung lernen Sie die Bereinigung, Optimierung und Transition eines Active Directory auf Domain Controller mit dem Betriebssystem Windows Server 2025.
Mehr zu unserem Workshop erfahren Sie hier: Essential Active Directory 2025 Schulung