![Erst der Einsatz von Digital-Workspace-Konzepten macht ein Arbeiten von überall aus möglich – aber auch beim Arbeiten aus dem Homoffice oder im Büro nimmt die Bedeutung des Digital Workspace stetig zu. (Bild: © barmaleeva - stock.adobe.com [KI])](https://cdn1.vogel.de/gpuvdH_vf3CSeVXMMjaq9DDP6t4=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/e5/8b/e58b57e5742e1cb77577828dfbbad52c/0115692375.jpeg "Erst der Einsatz von Digital-Workspace-Konzepten macht ein Arbeiten von überall aus möglich – aber auch beim Arbeiten aus dem Homoffice oder im Büro nimmt die Bedeutung des Digital Workspace stetig zu. (Bild: © barmaleeva - stock.adobe.com [KI])")
![Unter Network as a Service (NaaS) versteht man heute einerseits die Bereitstellung von Netzwerk-Infrastruktur-Komponenten und zugehörigen Dienstleistungen in einem Abo- oder Mietmodell, und andererseits die Bereitstellung spezieller Netzwerk-Services zur dedizierten Vernetzung von Standorten, Cloud-Diensten oder Geräten. (Bild: © tong2530 - stock.adobe.com [KI])](https://cdn1.vogel.de/k6CU6gRdiHmmSHNv8UGc_JwG92E=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4d/d0/4dd0399f9b8207477889a3c659d02379/0115475686.jpeg "Unter Network as a Service (NaaS) versteht man heute einerseits die Bereitstellung von Netzwerk-Infrastruktur-Komponenten und zugehörigen Dienstleistungen in einem Abo- oder Mietmodell, und andererseits die Bereitstellung spezieller Netzwerk-Services zur dedizierten Vernetzung von Standorten, Cloud-Diensten oder Geräten. (Bild: © tong2530 - stock.adobe.com [KI])")
![Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © igor.nazlo - stock.adobe.com [KI-generiert])](https://cdn1.vogel.de/6T_kNbCyNoMIy3KHASP8djUjYWs=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/8e/4f/8e4f126da182949ecf3a6806652a8749/0115429527.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © igor.nazlo - stock.adobe.com [KI-generiert])")
:quality(80)/p7i.vogel.de/wcms/df/45/df4538830299eabd646ba4c03f9639d7/0117949527.jpeg "Wir haben uns 16 zum Teil kostenfreie Wekzuege angesehen, mit denen WLANs besser eingerichtet, überwacht, abgesichert und gemanagt werden können. (Bild: © bancha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/8a/118a5e56c4fd5864b1357df02261bdb9/0117735549.jpeg "Miradore Premium+ von GoTo unterstützt das Framework zur Nutzersynchronisierung mit Entra ID von Microsoft. (Bild: GoTo)")
:quality(80)/p7i.vogel.de/wcms/46/86/46869755e4f005fa13b0d164baebbce9/0117789775.jpeg "In der Weboberfläche von Munin können Admins gezielt Berichte und Visualisierungen abrufen. (Bild: Joos - Munin)")
:quality(80)/p7i.vogel.de/wcms/ab/55/ab555c59ad3fcda64ed1afde14a5ba10/0117736182.jpeg "Celonas 5G LAN kann in Innen- und Außenbereichen eingesetzt werden. (Bild: Celona)")
:quality(80)/p7i.vogel.de/wcms/8a/d1/8ad1c3aaa6e1cc1a3653abbf8bad1438/0117925509.jpeg "Beim Thema 6G nimmt das Bundesforschungsministerium seine Rolle als Impulsgeber aktiv wahr; in den nächsten fünf Jahren wird sich zeigen, ob sich die Erwartungen von Forschung, Wirtschaft und Staat erfüllen werden. (Bild: © AD - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/06/6e06374b7ac59599ab54fa5f8b2a6c4f/0117170489.jpeg "IT-Sicherheit für vernetzte Remote-Standorte gestützt durch KI und angetrieben von 5G: Dies möchte Fortinet mit einer neuen Appliance im Portfolio gewährleisten. (Bild: KI-generiert / Adobe Firefly)")
:quality(80)/p7i.vogel.de/wcms/82/e7/82e79e01710165ae17a0b2187df0824d/0117239406.jpeg "Heute Thema bei Localhost, dem Podcast von IP-Insider: Die IT-OT-Konvergenz und 5G-Campusnetze. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/a0/b7/a0b7ed6e9ba35cf30884922a3656a8f9/0117793150.jpeg "Für ein einfacheres Logistik-Handling werden die SOHO-Pro-Wandgehäuse unmontiert im Flachkarton geliefert. (Bild: Assmann)")
:quality(80)/p7i.vogel.de/wcms/3b/76/3b768992c5e86334ee3b13a2f8631d52/0117870289.jpeg "Red-Hat-Vice-President Francis Chow erklärt, welche Themen den Markt bestimmen und welche Rolle Open-Source-Technologien dabei spielen. (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/2b/2a/2b2aec2d9661cba423b249ecff8d1d11/0117657698.jpeg "Um das Unternehmen vor Datenverlust zu schützen, sind Backup- und Disaster-Recovery-Maßnahmen Pflicht. Entsprechende Software gibt es auch als Open-Source-Varianten. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/03/3003785d427d9a9fc9ff1329ff9a925c/0117793117.jpeg "Überwachung und Optimierung der Kundenerfahrungen werden für die IT-Teams immer komplexer. (Bild: © TenPixels – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c7/9b/c79b800d41c9a55913b006e84800356b/0117754513.jpeg "Aktuell gibt es verschiedene Sicherheitslücken in Cisco Geräten mit IOS und IOS XE, die DoS-Attacken ermöglichen. (Bild: urby - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/9b/499b5d370807f5e5c1981ced237f7af4/0117793142.jpeg "Die Implementierung von Dongleservern für die sichere und zentrale Verwaltung ist eine strategische Maßnahme im Sinne eines umfassenden und effizienten Lizenzmanagements. (Bild: SEH Computertechnik)")
:quality(80)/p7i.vogel.de/wcms/8f/58/8f58532053b32d26eb983788898dfb18/0117735877.jpeg "Extreme Networks und Borussia Dortmund sorgen für Wi-Fi 6E im Westfalenstadion. (Bild: Extreme Networks / Borussia Dortmund)")
:quality(80)/p7i.vogel.de/wcms/ae/5d/ae5d22bd9ad8a49cd2a3f4c967d9fcc9/0117376334.jpeg "Datensicherung ist ein entscheidender Faktor bei der Verteidigung gegen Cyberangriffe – aber wohin mit den Backup-Daten? (Bild: ©anyaberkut, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/af/7a/af7aae89e515ef2875d98859dc68b97b/0117610599.jpeg "Cloud Bursting ist eine Technik, um IT-Ressourcen durch dynamisches Hinzufügen von Cloud-Ressourcen zu erweitern und damit unerwartete Lastspitzen zu bewältigen. (Bild: starlineart - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/52/7a/527a4a085ce1583cd1040265951aea01/0117768599.jpeg "Mit dem Open-Source-Tool Remotely lässt sich eine Remote-Access-Lösung zur Fernwartung von Clients und Servern im eigenen Unternehmen hosten. (Bild: Joos - Immense Networks)")
:quality(80)/p7i.vogel.de/wcms/83/e7/83e79ab10dbf7322ba6e0af00be549f6/0117210581.jpeg "Genua wird das Netzzugangsgerät FSP 150-XG118Pro von Adva Network Security in sein Portfolio aufnehmen. (Bild: Adva Network Security)")
:quality(80)/p7i.vogel.de/wcms/1d/7c/1d7ceb2a418d65ab93596b28558f9a73/0117601528.jpeg "Die Avaya Experience Platform soll Kundenerlebnisse und Mitarbeitererfahrungen vorantreiben und das Geschäftswachstum fördern. (Bild: Avaya)")
:quality(80)/p7i.vogel.de/wcms/5a/ad/5aad9227bfb37afab5a7a08569290f2c/0117567800.jpeg "Die Zusammenarbeit in Unternehmen soll sich durch die Partnerschaft von Zoom und Avaya verbessern. So erhalten Avaya-Kunden Zugriff auf Zoom Workplace und können gleichzeitig ihre Avaya-Lösungen nutzen. (Bild: KI-generiert/Canva)")
:quality(80)/p7i.vogel.de/wcms/e3/f0/e3f09549e959ac2421787e0413d710e2/0117517775.jpeg "„Wir müssen jeden Platz mit KI-basierten Sprach- und Videogeräten ausstatten, damit die Zusammenarbeit und die Produktivität besser werden“, sagt Jeetu Patel, Executive Vice President und General Manager, Cisco Security und Collaboration. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/fd/a5/fda5abaae61ae6e73b1b0b103ad96d4e/0117704321.jpeg "Wie funktionieren Passkeys? Kann man sich ohne Kennwort wirklich sicher anmelden? Wir geben Antworten auf wichtige Fragen von Admins und Anwendern. (Bild: Andres Victorero/Wirestock Creators - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/55/1555d5ed53d3d5416521aec1a4544c5c/0117450351.jpeg "Die Verkürzung der Lebensdauer von TLS-Zertifikaten auf 90 Tage soll zwar mehr Sicherheit bringen, könnte aber zu größeren Ausfällen und zusätzlichen Sicherheitslücken führen. (Bild: Eakrin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/f4/3cf47ea8040b1161f6042485a562abe7/0117732444.jpeg ""Wenn das aktuelle SD-WAN Ihres Unternehmens eines der hier genannten Kriterien erfüllt, ist es vielleicht an der Zeit, sich nach einer SD-WAN-Lösung der nächsten Generation umzusehen", sagt Pantelis Astenburg von Versa Networks. (Bild: Versa Networks)")
:quality(80)/p7i.vogel.de/wcms/63/9a/639a6a9b404e32b8b00125ee90f06cbf/0117700366.jpeg "SD-WAN spielt bei der Digitalisierungsstrategie von Unternehmen eine Schlüsselrolle. (Bild: shutterstock_2196000525)")
:quality(80)/p7i.vogel.de/wcms/f5/40/f540a9f6e17056eac6055ff826830325/0115977505.jpeg "Christopher Krafft ist Softwareentwickler bei Adesso und erläutert in seinem Beitrag die spezifischen Eigenschaften und Einsatzmöglichkeiten von Narrowband IoT. (Bild: Adesso)")
Ein kritischer Blick auf Einstellungen, Compliance und strategische Pläne lohnt sich 7 typische Fehler im Umgang mit Active Directory
Das Active Directory (AD) stellt viele mächtige Funktionen bereit, um Windows Server, Nutzerrollen und Zugriffsrechte zu verwalten. Allerdings sind weder die Handhabung noch die Verwaltung immer transparent. Deshalb kann es leicht zu Fehleinstellungen kommen, durch die ein Unternehmen seine Angriffsfläche für böswillige Hacker erhöht.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/5a/615ac2ee6e619/paessler-logo-mit-claim-me-blue.jpeg "paessler-logo-mit-claim-me-blue (Paessler AG)"){kind=logo}
Es lohnt sich daher, kritisch mit den Einstellungen, der Compliance und den strategischen Plänen im Active Directory umzugehen und alles regelmäßig zu kontrollieren, um die häufigsten Fehler zu vermeiden oder schnell zu finden.
:quality(80)/images.vogel.de/vogelonline/bdb/1417100/1417127/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848868/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848869/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848870/original.jpg)
1. Das Adminkonto für tägliche Aufgaben nutzen
Sehr beliebt ist der Einsatz von Konten mit den Rechten eines Administrators für die alltäglichen Arbeitsabläufe. Routineaufgaben können so bequem und effizient erledigt werden, ohne sich ständig ab- und wieder anzumelden. Für die reguläre Anmeldung sollte aber unbedingt vermieden werden, die Konten für den Domänenadministrator oder sogar die lokalen Domänenaccounts zu verwenden, wenn die damit einhergehenden Berechtigungen nicht benötigen werden.
Für die reguläre Anmeldung an einem Gerät sollte generell ein einfaches Konto mit eingeschränkten Rechten vorgesehen werden, um Sicherheitsverletzungen zu vermeiden. Viele Kriminelle nutzen Methoden wie Spear-Phishing oder Malware-Injektionen, um an Benutzerdaten zu kommen oder Schaden anzurichten, während der Nutzer angemeldet ist. Umso mehr Rechte im Ernstfall mit einem kompromittierten Account verbunden sind, umso mehr Möglichkeiten stehen dem Angreifer zur Verfügung, der sich Zugang zu dem Konto verschafft.
2. Der Verzicht auf Zugriffsdelegation
Das Least-Privilege-Prinzip spielt im Fall der Adminkonten eine wichtige Rolle, denn es bedeutet, dem Nutzer immer nur so viele Zugriffsrechte einzuräumen, wie er für seine Arbeit benötigt. Der Verzicht auf eine angemessene Zugriffsdelegation stellt ein Risiko dar und sollte in puncto AD-Sicherheit für sehr allgemeine Verwaltungsaufgaben, beispielsweise das Entsperren von Konten oder das Zurücksetzen von Passwörtern nicht vorkommen.
Jedes Unternehmen sollte seine Prozesse sorgfältig evaluieren und entscheiden, wo Automatisierung und Delegation sinnvoll wären. Beispielsweise können die Berechtigungen zum Zurücksetzen von Passwörtern, dem Verbinden eines Computers mit der Domäne oder zum Ändern bestimmter Sicherheitsgruppen häufig an die Rolle des Helpdesks übergeben werden, anstatt dies mit Administratoren-Rechten aufzuführen. Die Delegation sollte daher effizient verwaltet werden – und hierfür stehen viele Best Practices zur Verfügung, die sehr hilfreich sind.
3. Die unzureichenden Backup- und Wiederherstellungspläne
Die Pläne zu Backups und der Wiederherstellung spielen im Ernstfall eine wichtige Rolle, um bei Störungen angemessen reagieren zu können und Ausfälle auf ein Minimum zu beschränken. Die Verantwortlichen sollten deshalb hinterfragen, wie schnell sie sich von einer nicht autorisierten Änderung erholen können.
Ein Beispiel dafür ist die versehentliche Löschung eines AD-Objekts. Eine gute Vorbereitung auf solche Situationen kann einen entscheidenden Unterschied machen. Die Administratoren sollten deshalb einen Tombstone oder Papierkorb konfigurieren, um die gelöschten Objekte schnell und unproblematisch wiederherstellen zu können. Dazu gehört ebenfalls, über die Delegation von Rechten nachzudenken und allgemeine Verwaltungsaufgaben, wie z. B. das Entsperren von Konten und das Zurücksetzen von Passwörtern, den richtigen Accounts zu zuordnen.
4. Die Verwaltung über einen Domänencontroller
Ein bekanntes Szenario ist hier, dass sich der Administrator physisch an einem Domänencontroller anmeldet und seine Verwaltungstools von diesem Server aus steuert. Diese Praxis ist nicht auf die normale Verwaltung von Objekten beschränkt – sie kann auch bei Gruppenrichtlinienverwaltung, DHCP- und DNS-Konsolen auftreten. Wie die Best Practices nahelegen, sollten Domänencontroller aber nur die Funktionen ausführen, die für die Domänenservices tatsächlich erforderlich sind. Die gesamte tägliche Verwaltung sollte nur über gesonderte und geschützte Geräte erfolgen.
5. Keine Deaktivierung veralteter Konten
Oftmals fehlt die Kommunikation oder die Zeit, Benutzerkonten kontinuierlich zu kontrollieren und zu aktualisieren. In vielen Fällen bedeutet das, dass die Accounts ausgeschiedener Mitarbeiter auch lange nach ihrem Weggang weiter bestehen. Ungenutzte Zugänge beeinflussen in der Regel nicht die Funktionsfähigkeit der IT, weshalb sie häufig nicht auffallen. Sie sind allerdings zusätzliche Angriffspunkte für böswillige Akteure, die dann unbefugt und unerkannt Daten manipulieren können. Die Administratoren sollten deshalb das AD regelmäßig aufräumen und veraltete Benutzer, Computer, Gruppen oder sogar GPOs löschen, um solche mögliche Angriffsvektoren und Netzwerkkomplikationen zu vermeiden.
6. Komplizierte Vorgaben für die Passwörter
Die Gestaltung der Passwörter lässt zwei unterschiedliche Ansichten und Ziele aufeinandertreffen: die Mitarbeiter und die Administratoren. Während die Nutzer von umfangreichen Regeln und der wiederkehrenden Änderung des Passworts oft genervt sind, bemängeln die Administratoren oftmals den zu sorglosen Umgang der Anwender mit ihren Zugangsdaten sowie die schlechte Qualität der Passwörter. Zur Steigerung der Sicherheit sollte hier ein praktikabler Kompromiss bezüglich der Richtlinien, Compliance und etablierten Best Practices gefunden werden.
Die normalen Benutzerpasswörter sollten immer ein Ablaufdatum haben, damit sichergestellt wird, dass eine Alternierung stattfindet. Beim Servicekonto sollte hingegen eine Automatisierung vermieden, aber ein regelmäßiger Reset eingeplant werden. Zusätzlich sollte sichergestellt werden, dass wenigstens die verschiedenen Accounts eines Nutzers, die mit demselben Benutzernamen verknüpft sind – besser noch alle seine Zugänge – mit unterschiedlichen Passwörtern abgesichert sind. So wird der Schaden begrenzt, wenn für eine Anwendung die Anmeldeinformationen in die falschen Hände gelangen, weil sie für keine anderen Konten verwendet werden können. Darüber hinaus sollte regelmäßig ein neuer Blick in aktuelle Best Practices geworfen werden, um bei der Sicherheit und Qualität des Passwortmanagements auf dem aktuellen Stand zu bleiben.
7. Kein Auditing und die fehlende Überwachung
In vielen Fällen wird das AD nur sporadisch auf Auffälligkeiten kontrolliert. Da die Größe des Ereignisprotokolls auf den Domänencontrollern eher klein ausfällt, entgehen jedoch viele Vorkommnisse oftmals der Beobachtung. Deshalb sollte das Protokoll immer auf die maximale Größe eingestellt werden, um Änderungen länger nachverfolgen zu können – insbesondere bei den Domänenadministratoren ist darüber hinaus eine regelmäßige, aktive Analyse verpflichtend.
Um Änderungen zu verfolgen, müssen außerdem die Audit-Richtlinien aktiviert werden. Für die Konfiguration der Richtlinien gibt es zahlreiche Best Practices, an die man sich halten sollte. Die Möglichkeit einer kontinuierlichen Nachverfolgung von Änderungen erleichtert im Ernstfall die Untersuchung und Behebung eines Fehlers erheblich.
Fazit
Die Verwaltung des Active Directory ist keine einfache Aufgabe und nimmt einige Zeit in Anspruch, die den Administratoren im Alltag oft fehlt. In vielen Unternehmen, die auf das AD vertrauen, kommt es deshalb zu Vorfällen, die vermeidbar wären. Deshalb sollten Administratoren sich die Zeit nehmen, Best Practices anzuwenden und sich bewusst mit möglichen Security-Szenarien auseinanderzusetzen. Eine Vielzahl kostenloser und kostenpflichtiger Tools kann bei der Einrichtung des AD helfen, aufwendige Routineaufgaben zu erleichtern, kritische Szenarien zu vermeiden und wertvolle Zeit zu sparen.
Über den Autor
Gerald Lung ist Country Manager DACH bei Netwrix.
In der folgenden Bildergalerie "Active Directory im Fokus" finden Sie laufend aktualisiert eine Sammlung unserer besten und hilfreichsten Artikel zum Themenkomplex Active Directory:
(ID:45508896)
:quality(80)/p7i.vogel.de/wcms/21/15/21159a46f653b95382814d09539fbbe7/0113073150.jpeg "Auch im Active Directory sollte man hin und wieder Ordnung schaffen – wobei es aus Sicherheitsgründen besser ist, wenn man hier kontinuierlich am Ball bleibt! (Bild: © M. Johannsen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3b/fd/3bfd208cbc4a2a004217fae15ba766bf/0113358630.jpeg "Die Anforderungen des Unternehmens spielen bei der Gestaltung der Active-Directory-Struktur eine entscheidende Rolle. Aber nicht nur deshalb sollten das Design und die Implementierung des Verzeichnisdienstes wohl überlegt sein. (Bild: © Andreas Berheide - stock.adobe.com)")