Unkategorisiert

Active Directory: Was ist das, wie funktioniert es und wie sicher ist das Ganze überhaupt?

Windows-Nutzern wird der Begriff Active Directory bestimmt etwas sagen. Beim sogenannten Active Directory handelt es sich um einen Verzeichnisdienst, der für die Verwaltung von Accounts oder besser gesagt die Verwaltung von Windows-basierten Netzwerken zum Einsatz kommt. Auch Dienste und mehr können innerhalb der Active Directory-Domäne entsprechend gesichert werden.

Das Problem beim Active Directory ist allerdings, dass die Konfiguration recht schwerfällig erscheint. Das ganze System ist sehr genau konfigurierbar, weshalb kleine Fehler in dieser Konfiguration oft zu großen Sicherheitslücken führen können.

Wir schauen uns das Active Directory heute mal ein wenig genauer an und erklären Ihnen, was es damit auf sich hat. Außerdem möchten wir über gängige Sicherheitslücken informieren und darüber, warum Tests im Active Directory im Grunde genommen unabdingbar sind.

Was genau ist das Active Directory?

Jetzt aber noch einmal ganz genau und im Detail. Beim Active Directory handelt es sich um einen Verzeichnisdienst, der von Microsoft entwickelt wird. Mit dem Active Directory können IT-Ressourcen innerhalb eines Unternehmens bestmöglich verwaltet werden, gerade in Bezug auf Benutzerrechte und Hierarchien.

Das Active Directory ist dabei eine Art von Telefonbuch, wenn man so möchte, bietet hier aber viel mehr Möglichkeiten die Objekte zu verwalten. Mithilfe des Active Directory können IT-Strukturen dann in unterschiedliche Domänen gelegt werden.

Benutzergruppen, Geräte, Dienste, Server, Freigaben, Drucker und vieles mehr, können so im Active Directory vom Admin deutlich angenehmer und übersichtlicher verwaltet werden. Dann nämlich sind hier alle Informationen entsprechend vorhanden und können umfassend und besonders einfach überwacht werden. Da es strikte Zugriffsbeschränkungen gibt, kann auch nicht jeder Nutzer im Netzwerk auf alles zugreifen, was das Active Directory in Unternehmen entsprechend hilfreich werden lässt.

Ein Beispiel für den Einsatz des Active Directory

Um die Funktion des Active Directory für den Laien ein wenig verständlicher zu gestalten, möchten wir kurz noch einmal ein Beispiel anführen. Nehmen wir dafür ein größeres Unternehmen mit einer Vielzahl an Mitarbeitern. Diese nutzen die IT-Infrastruktur und benötigen entsprechende Berechtigungen. Zum Beispiel für Benutzerkonten oder auch Drucker, die entsprechend frei genutzt werden sollen.

Nun ist es aber so, dass der Admin im Unternehmen nicht jeden Arbeitsplatz einzeln verwalten kann. Der Aufwand wäre gigantisch, das IT-Team müsste größer sein, einfach nur um die anstehenden Aufgaben entsprechend bewerkstelligen zu können. Das Active Directory speichert jetzt aber unterschiedliche Strukturen, sodass die Rechte und Freigaben zentral verwaltet werden können.

Wird im Active Directory dann ein Passwort geändert, gilt das für alle, die darauf Zugriff haben. Auch Systemupdates können, dank des Active Directory, somit global für bestimmte Gruppen oder alle Nutzer gleichzeitig gefahren werden. Verwaltet wird das Active Directory vom entsprechenden Systemadministrator.

Aufbau eines Active Directory

Klassischerweise besteht ein Active Directory aus Schema, Konfiguration und Domäne. Letztere sind dabei der eigentliche Kern des Ganzen, denn sie enthalten die wichtigsten Informationen zu den jeweils hinterlegten IT-Ressourcen.

Den Anfang macht das AD-Schema, welches die Objekte und ihre Attribute verwaltet. Hier wird mittels Definitionen festgelegt, welche Objekte im Netzwerk dann entsprechend verfügbar sind. Die AD-Konfiguration hingegen bildet die Gesamtstruktur mit Benutzerrollen, Freigaben und mehr ab. Domänen sind im Active Directory entsprechend wichtig. Sie bilden die Grundlage für alle hierarchischen Strukturen der Arbeitsgruppen, Objekte oder Benutzer. Die Domäne enthält damit auch alle Informationen zu den Objekten und Attributen selbst.

Die Hierarchie im Active Directory funktioniert am Ende folgendermaßen. Das Gesamtbild wird als »Forest« bezeichnet, der mehrere »Trees« besitzt. Ganz unten befinden sich die Container in Domänen. Mehrere Domänen zusammen ergeben die IT-Ressourcen, also die Struktur im jeweiligen Unternehmen.

Active Directory gegen Cyberattacken härten

Das Active Directory ist zwar nützlich, stellt aber grundsätzlich erst einmal auch ein zusätzliches Sicherheitsrisiko dar. Das liegt ganz einfach daran, dass das Active Directory unter Umständen schwierig zu konfigurieren sein kann. Werden Bereiche dann falsch konfiguriert, entstehen logischerweise Sicherheitslücken und Leaks im IT-System des jeweiligen Unternehmens.

Eine Active Directory Härtung ist daher mehr als angebracht. Auch für uns ist es im Alltag relativ üblich, dass wir eine Active Directory Härtung vornehmen oder vorhandene Konfigurationen auf Herz und Nieren prüfen. Regelmäßig sind es Kleinigkeiten, die dabei große Sicherheitslücken offenbaren.

Als präventive Maßnahme ergibt es Sinn, sich das Active Directory im Unternehmen noch einmal genauer anzusehen. Auch in Bezug auf die Cyber Kill Chain, die wir Ihnen in einem anderen Beitrag schon genauer vorgestellt haben. Am Ende ist es die Härtung, die dafür sorgt, dass die Auswirkungen bei möglichen Cyberattacken entsprechend gering bleiben.

Fazit zum Einsatz einer zentralisierten Administration

Zum Ende hin noch einmal eine Zusammenfassung. Das Active Directory ist eine Verwaltungsmethode für große und komplexe Windows-Netzwerke. Es dient als zentrale Verwaltung für Nutzer, Freigaben, Konfigurationen und mehr. Durch die Multimaster-Replikation wird ein Ausfallschutz in der Domänenstruktur sichergestellt.

Im Grunde soll das Active Directory in erster Linie den Aufwand und somit die Kosten senken, die eine komplexe Verwaltung von IT-Ressourcen nun einmal so mit sich bringt. Die zentralisierte Administration vereinfacht es also schon einmal grundlegend, indem nicht jede Einstellung für jeden Benutzer oder jedes Gerät einzeln getroffen werden muss.

Auf der anderen Seite hat eine zentralisierte Administration immer auch den Nachteil potenzieller Sicherheitslücken. Ist etwas falsch konfiguriert, kann dies zu großen Problemen führen und schlimme Konsequenzen nach sich ziehen. Deshalb empfehlen wir bei dem Einsatz eines Active Directory immer auch die entsprechende Härtung und beraten Sie gerne persönlich, was in Ihrem Fall am meisten Sinn ergibt. Kontaktieren Sie uns dafür gerne unverbindlich, um Näheres zu erfahren.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.