Ich habe mich in der Vergangenheit im Rahmen anderer, breiter angelegter Themen mit den übermäßigen Rechten von Active Directory befasst. Aber seit kurzem denke ich, dass es an der Zeit ist, diesem Thema einen ganzen Artikel zu widmen. Dies ist kein zufälliger Gedanke meinerseits. Sie müssen sich nur ein paar Fakten ansehen, um zu verstehen, warum Sie die AD-Privilegien in Ihrem Unternehmen bald, wenn nicht schon heute, überprüfen sollten:
- Active Directory ist in den meisten Unternehmen auch heute noch übermäßig privilegiert
- Bei einer unnötig großen Anzahl von Benutzern, die Änderungen vornehmen KÖNNEN, die sie nicht vornehmen sollten, ist die Wahrscheinlichkeit von Fehlern (die verheerende Kosten verursachen können) viel größer.
- Wie Sie wissen, nutzen AD-fokussierte Cyberangriffe die Privilegienerweiterung als Methode, und mit vielen privilegierten Benutzern in Ihrem System können Angreifer buchstäblich unsichtbar bleiben, selbst wenn Sie versuchen, AD-Aktivitäten zu überwachen
- Sie möchten nicht feststellen, dass Sie einen überprivilegierten, verärgerten Mitarbeiter hatten (vor allem, wenn es zu spät ist). Es ist nicht so selten, wie Sie denken. Verizon DBIR 2016 berichtet, dass fast 8 % der Datenschutzverletzungen in Unternehmen auf vorsätzliche interne Quellen (böswillige Mitarbeiter oder ehemalige Mitarbeiter) zurückzuführen sind.
Und jetzt wissen Sie, warum ich dies zum Thema meines Beitrags machen wollte.
Wenn jeder weiß, dass das nicht gut ist, warum ist dann die Überprivilegierung von Active Directory so verbreitet?
Es kommt vor, dass bestimmte Mitarbeiter Aufgaben ausführen müssen, die mehr Privilegien erfordern. Es ist normal, dass Administratoren diese Privilegien gewähren, aber erinnert sich jemand daran, die zusätzlichen Privilegien später wieder zu entfernen? In den meisten Fällen nicht. Und es ist wichtig, sich daran zu erinnern, dass Mitarbeiter wahrscheinlich darauf hinweisen, dass sie ein Privileg benötigen, das sie nicht haben, sich aber wahrscheinlich nicht darüber beschweren, dass sie ein Privileg haben, das sie nicht nutzen. Und übermäßige Privilegien können sich auf diese Weise im Laufe der Zeit wirklich anhäufen.
Was die privilegierten Gruppen betrifft, so sind die privilegiertesten Rollen in AD in der Regel Enterprise Admins, Domain Admins und Administratoren. Und es gibt noch andere Rollen, die mit Privilegien ausgestattet sind, die manchmal automatisch an Mitarbeiter vergeben und kaum jemals überprüft werden. Erstens ist es wichtig zu wissen, dass nicht alle Personen, die einer bestimmten Gruppe zugeordnet sind, alle Privilegien ihrer Gruppe benötigen. Zweitens: Denken Sie daran, wann Sie das letzte Mal nachgesehen haben, wie viele Personen in Ihrem Unternehmen über privilegierte Konten verfügen. Wahrscheinlich ist das schon eine Weile her und es könnten inzwischen ein paar zu viele Personen auf der Liste stehen.
Ein weiterer Grund, der vielleicht der entscheidende Faktor ist: Viele von Ihnen wissen zwar, warum übermäßige Privilegien riskant sind, aber mit der Überprüfung aller Privilegien im Unternehmen zu beginnen, kann eine entmutigende Aufgabe sein. Sie kann viel Zeit und Ressourcen in Anspruch nehmen, und Sie haben weder das eine noch das andere zur Verfügung. Es ist eine wichtige Aufgabe, aber sie erscheint selten als dringend, so dass sie in vielen Unternehmen als nachrangig eingestuft wird.
Was kann passieren, wenn Sie nichts
dagegen tun?
Wir haben die Möglichkeit eines verärgerten Mitarbeiters erwähnt. Es ist leicht zu verstehen, warum Sie dafür sorgen möchten, dass Ihre Daten sicherer sind und alle Ihre Mitarbeiter NUR über die Privilegien verfügen, die sie für ihre Arbeit benötigen (geringste Privilegien). Sie können nie wissen, welcher Ihrer Mitarbeiter abtrünnig wird. Daher ist die Beschränkung des Zugriffs aller Mitarbeiter auf das notwendige Minimum eine gute Möglichkeit, Überraschungen zu vermeiden.
Natürlich sind nicht alle Probleme auf böswillige Absichten zurückzuführen. Wir sind alle Menschen und wir alle machen manchmal Fehler. Obwohl Active Directory bekanntermaßen ein sehr stabiles System ist, haben wir alle schon einmal von einem schrecklichen "Oops-Moment" gehört. Wenn Sie unnötige Privilegien entfernen, können Sie die Wahrscheinlichkeit solcher "Ups-Momente", die sonst passieren könnten, minimieren.
Wir haben auch die Möglichkeit eines Cyberangriffs erwähnt. Es ist nicht gerade eine Neuigkeit, dass Active Directory zunehmend von externen Hackern ins Visier genommen wird, denn es ist ein fabelhaftes Tor, durch das ein Angreifer viele Informationen erhalten kann. Wenn Sie mehr privilegierte Konten haben, als Sie müssen, wird es schwieriger sein, Hacker zu entdecken, wenn sie Zugriff auf Ihr System erhalten. Selbst wenn Sie die Aktivitäten in Active Directory ständig überwachen, möchten Sie keine "Nadel im Heuhaufen" finden müssen. Um Ihre Fähigkeit zur Erkennung von Angreifern zu verbessern, sollten Sie die Berechtigungen so weit wie möglich minimieren. Und um einen weiteren Grund hinzuzufügen, stellen Sie sich vor, einer Ihrer Benutzer klickt oder lädt versehentlich etwas herunter, was er nicht sollte, und startet am Ende einen bösartigen Code. Wenn der Benutzer mit Administratorrechten angemeldet ist, kann der Virus auf eine ganze Reihe von Daten in Ihrer Organisation zugreifen. Wenn die Malware unter einem nicht privilegierten Konto ausgeführt wird, greift sie zumindest zunächst nur auf die Daten eines einzelnen Benutzers zu.
Wie kann man übermäßige Privilegien verantwortungsvoll lösen?
Es gibt viele Dinge, die Sie tun können, um übermäßige Privilegien zu verhindern, und es ist wichtig, die richtige Balance für Ihr Team und Ihr Unternehmen zu finden. Es klingt verlockend, die strengsten Richtlinien zu implementieren, um auf Nummer sicher zu gehen, aber es kann auch zu einer hohen Arbeitsbelastung des IT-Teams führen - beurteilen Sie also Ihren Bedarf und Ihre Möglichkeiten, um den richtigen Plan zu wählen. Lassen Sie uns hier ein paar der überschaubareren Optionen besprechen.
Sie können granulare Zugriffskontrollen implementieren, die das Prinzip der geringsten Privilegien durchsetzen. Microsoft hat bei vielen seiner Kunden übermäßige Privilegien festgestellt und sich entschlossen, einen Leitfaden zu veröffentlichen, der Ihnen bei der Implementierung von Verwaltungsmodellen mit geringsten Rechten helfen soll.
Wenn Sie Privilegien hinzufügen, sollten Sie darauf achten, dass sie für Mitarbeiter, die darum bitten, zeitlich begrenzt sind (auf eine Woche oder einen Monat). Schlimmstenfalls werden sich die Mitarbeiter melden, um die gleichen Privilegien in Zukunft erneut zu beantragen. Im besten Fall ersparen Sie Ihrem Unternehmen eine unnötige Katastrophe.
Da der Prozess der Beseitigung übermäßiger Privilegien im Unternehmen entmutigend erscheinen kann, versuchen Sie, ihn aufzuteilen und zu überwinden. Beginnen Sie mit den Konten, die über Privilegien verfügen, die das größere Risiko bergen. Es ist so einfach wie das Pareto-Prinzip (oder die 80/20-Regel). Manchmal können Sie 80% des Risikos beseitigen, indem Sie 20% der Ursachen angehen.
Die Liste der möglichen Methoden geht immer weiter, bis hin zu dem radikalsten Ansatz, überhaupt keine privilegierten AD-Konten in der Organisation zu haben. Dies wird beibehalten, indem Administratoren Zugang zu sicheren administrativen Hosts erhalten, auf denen sie alle Verwaltungsaufgaben ausführen können. Der Grund, warum ich dies als radikalen Ansatz bezeichne, ist, wie Sie sicher wissen, dass es die Sicherheit erhöht, aber die Aufgabe, einen reibungslosen Betrieb aufrechtzuerhalten, sehr viel schwieriger macht. In den Unternehmen von heute wächst die Arbeitsbelastung der AD-Experten ständig. Außerdem wachsen die Ressourcen für die Verwaltung der AD-Anforderungen von Unternehmen nicht so schnell, wie sie sollten. Es mag also etwas unproduktiv erscheinen, diese zusätzliche Ebene von Hindernissen hinzuzufügen.
Und wenn Sie einen Ersatzplan suchen...
Es gibt noch andere Faktoren, die ein AD-Desaster verursachen können, abgesehen von der Frage der Überprivilegierung. Sie denken dabei wahrscheinlich an AD-Upgrades, gezielte böswillige Angriffe oder sogar Naturkatastrophen. Es ist also immer sicherer, eine solide Automatisierungslösung für die Notfallwiederherstellung von Active Directory in Ihrem "Werkzeugkasten" zu haben. Diese Automatisierungs-/Organisationstechnologien unterscheiden nicht zwischen den Ursachen von Katastrophen: Es spielt keine Rolle, was die Organisation zu einem AD-Ausfall veranlasst hat, wichtig ist nur, dass die Wiederherstellung schnell und einfach erfolgen kann. Ein gutes Beispiel für eine Lösung, die Sie nutzen können, ist Semperis Active Directory Forest Recovery, das die Wiederherstellungszeiten minimiert und den Prozess der Wiederherstellung nach AD-Katastrophen erheblich vereinfacht.
Außerdem sollten Sie IMMER ein gutes Active Directory-Backup haben, auf das Sie zurückgreifen können. Für den Fall, dass Sie noch keine AD DR-Technologie haben, auf die Sie zurückgreifen können, können Sie Ihre Active Directory-Backups immer noch verbessern. Dies wird ein dringend benötigtes Sicherheitsnetz für jedes Katastrophenszenario bieten. Schauen Sie sich dieses 20-minütige AD-Backup-Best-Practice-Tutorial an, um herauszufinden, ob Ihre derzeitige Backup-Strategie alle Ihre Anforderungen erfüllt (stellen Sie Ihre Lautsprecher lauter :).
Alles, was ich hier über die Vorteile einer Verringerung der Rechte für Benutzer gesagt habe, gilt auch für Server, Workstations und Anwendungen - aus ähnlichen Gründen. Wichtig ist, dass der Prozess zur Beseitigung übermäßiger Rechte zwar langwierig ist, es aber bewährte Verfahren gibt, die Ihnen den Einstieg erleichtern, und Technologien, die Ihnen helfen, Ihr AD zu sichern - vor, während und nach Abschluss des Prozesses.
