Active Directory (AD) ist der zentrale Identitätsspeicher für viele Unternehmen. Als solches ist AD auch zu einem wichtigen Ziel für bösartige Akteure geworden. Wenn sich Angreifer Zugang zu AD verschaffen, erhalten sie Zugriff auf alle Ressourcen des Unternehmens. In einem hybriden On-Premise/Cloud-Szenario, wie es heute üblich ist, umfasst dies auch den Zugriff auf die Cloud-Ressourcen des Unternehmens. Viele der ursprünglichen Sicherheits- und Architekturempfehlungen von AD sind jedoch unzureichend, um den Anforderungen eines modernen Unternehmens gerecht zu werden. Es liegt auf der Hand, dass die Modernisierung von AD für eine solide Sicherheitslage entscheidend ist.
AD-Modernisierung versus Missverständnisse, Fehlkonfigurationen
Als AD vor mehr als zwei Jahrzehnten eingeführt wurde, wurde das Design von AD-Domänen stark von Bandbreitenbeschränkungen und Replikationsproblemen beeinflusst. Diese Einschränkungen in Kombination mit Objektbeschränkungen und Migrationsproblemen von älteren Windows NT 4-Domänen führten zur Einführung mehrerer Domänen innerhalb eines Forest-Designs.
Zu dieser Zeit war es ein weit verbreiteter Irrglaube, dass eine Domäne die Sicherheitsgrenze für unabhängige Einheiten innerhalb des Unternehmens sein sollte. Zu Beginn meiner Karriere arbeitete ich beispielsweise für ein Finanzinstitut, das sich an diese bewährten Verfahren hielt und über ein Dutzend AD-Domänen in seinem Hauptforest hatte.
Dieser Irrglaube führte zu einem falschen Gefühl der Sicherheit, da jede kompromittierte Domain in diesem Szenario zu einer vollständig kompromittierten Umgebung führen würde.
Spulen Sie 20 Jahre vor. Wir wissen jetzt, dass Domänen keine Sicherheitsgrenze darstellen. Tatsächlich stellen mehrere Domänen eine Herausforderung für die Verwaltung dar, die wiederum unnötige Sicherheitsrisiken birgt.
AD-Modernisierung versus angehäufte technische Schulden
Ein weiteres großes Sicherheitsrisiko ist die Verwaltung von Umgebungen mit mehreren Speicherorten. Viele Unternehmen haben im Laufe der Jahre solche Umgebungen angehäuft, oft durch Fusionen und Übernahmen.
Wie bei vielen Systemen ist das Anhäufen von technischen Schulden normal. Aber die Empfindlichkeit von AD macht das damit verbundene Sicherheitsrisiko viel höher.
Umgebungen mit mehreren Gesamtstrukturen stellen IT- und Identitätsverwaltungsteams vor zahlreiche Verwaltungs- und Sicherheitsherausforderungen. Denken Sie zum Beispiel an Vertrauensstellungen, die zwischen verschiedenen Gesamtstrukturen eingerichtet werden. Wenn die am wenigsten sichere Gesamtstruktur kompromittiert wird, kann dies als Brückenkopf für den Zugang zu sensibleren Umgebungen genutzt werden.
Eine sicherere Lösung: AD-Konsolidierung
Die größte Sicherheitsverbesserung lässt sich erreichen, wenn so viele Forests wie möglich zu einem einzigen zusammengelegt werden. Diese Konsolidierung wirkt sich nicht nur positiv auf die Sicherheitslage des Unternehmens aus, sondern senkt auch häufig die gesamten Verwaltungskosten, da die komplexere, verteilte Umgebung mit mehreren Forests entfällt.
Natürlich erfordert eine solche Konsolidierung eine sorgfältige Planung, bei der die Auswirkungen auf Anwendungen, Sicherheitsprinzipien und Ähnliches berücksichtigt werden müssen. Unternehmen müssen auch die Sensibilität der verschiedenen Umgebungen berücksichtigen. Es empfiehlt sich, die Umgebungen je nach Sensibilitätsstufe zu trennen. Trennen Sie zum Beispiel Ihre Entwicklungs-/Testumgebung von der Produktionsumgebung.
Moderne AD-Forest-Umgebungen sollten Domänen auch in Organisationseinheiten (OUs) zusammenfassen, wenn eine unabhängige Verwaltung erforderlich ist, oder in Gruppen, wenn kein Bedarf an unabhängigen Einheiten besteht. Auf diese Weise kann das Unternehmen die Anzahl der zu verwaltenden Domänen reduzieren.
Sobald die Umgebungen konsolidiert sind, kann das Unternehmen seine Sicherheitsrichtlinien mithilfe von Microsoft Group Policy Objects (GPOs), Intune, System Center Configuration Manager (SCCM) oder anderen Tools von einem zentralen Ort aus durchsetzen. Darüber hinaus können Sie auch die Verwaltung von Berechtigungen und alle anderen Aspekte einer ordnungsgemäß gesicherten Identitätsumgebung konsolidieren.
Wo Sie Ihre sichere AD-Migration beginnen sollten
Wenn Sie die kritische Aufgabe der AD-Modernisierung angehen, sollten Sie die Sicherheit im Auge behalten. Ihr Ziel ist eine sicherere und leichter zu verwaltende Umgebung. Aber Sie sollten auch sicherstellen, dass der Migrationsprozess selbst sicher ist. Die Migration ist ein sensibler Zeitpunkt; die Vermeidung von Sicherheitsrisiken ist entscheidend.
Beginnen Sie mit dem Scannen und Bewerten der Sicherheitsreife der Umgebungen, die Sie kombinieren möchten. Setzen Sie diesen Prozess als Teil Ihres Migrationsplans fort, damit Sie bei der Migration zu neuen Domänen keine neuen Schwachstellen in der Sicherheitslage schaffen.
Sie können kostenlose Tools zur Bewertung der AD-Sicherheit verwenden wie Purple Knight und Forest Druid für diese ersten Bewertungen verwenden. Wenn Ihre Umgebung mehr Aufmerksamkeit erfordert, können Sie ein externes Cybersecurity-Team zur Unterstützung hinzuziehen.
Überlegen Sie sich auch genau, welche Tools Sie für die Migration verwenden, insbesondere in größeren Umgebungen. Bevorzugen Sie Tools, die einfach zu bedienen sind; Komplexität schafft potenzielle Sicherheitsrisiken. Achten Sie auf Tools, die zusätzliche Risiken innerhalb Ihrer Identitätssysteme (z.B. sensible Datenbanken) verhindern, die missbraucht werden können. Ein einfaches, sicheres Tool wie Semperis Migrator for AD erfüllt diese Anforderungen.
Erfahren Sie mehr über AD-Sicherheit und Migration
Unter den folgenden Links erfahren Sie mehr über die bereits erwähnten AD-Sicherheits- und Migrationstools: