Flexible Security For Your Peace of Mind

3 Fehler, die es bei Active Directory zu vermeiden gilt

(Last updated on November 21, 2019)

Vor einigen Monaten haben wir unsere IT-Kollegen von/bei (auf) Spiceworks gebeten, uns dabei zu helfen, einige häufige Fehler, die neue Administratoren machen, zu identifizieren.

Bei mehr als 100 Antworten gab es einige eindeutige Muster – oder vielleicht sollte ich sagen: Fehler. Davon inspiriert, haben wir ein visuelles Memorandum erstellt, um anderen dabei zu helfen, diese Fehler zu vermeiden. Und da man von einer guten Sache nie genug haben kann, entschlossen wir uns, auf diese Diskussion zurückzukommen und eine neue Liste zu erstellen, die einzig und allein den Fehlern in Zusammenhang mit dem Active Directory gewidmet ist.

Inaktive Konten werden nicht gelöscht

Inaktive Konten stehen hier auf dem ersten Platz, weil sie häufig vorkommen und eine der wesentlichen Sicherheitsbedrohungen darstellen. Inaktive Konten sind ein attraktives Ziel für Angreifer, da sie dazu genutzt werden können, unbemerkt auf Ressourcen zuzugreifen. Mit unserem gratis-Tool Specops Password Auditor lassen sich inaktive Konten schnell erkennen. Das Tool identifiziert inaktive Administratorenkonten durch Einlesen der letzten Login-Erfassung und inaktive Nutzerkonten durch Einlesen des Attributs pwdLastSet, wodurch Konten mit Passwörtern erkannt werden, die bereits über einen längeren Zeitraum abgelaufen sind.

Zu viele Administratoren

Wenn Sie häufig IT-Foren besuchen, sind Sie mit unserem nächsten Fehler bereits vertraut: zu viele Administratoren. Die Anzahl der Administratoren, die Sie wirklich brauchen, hängt von der Größe Ihrer Organisation ab. Im Allgemeinen sollten Administratorberechtigungen nur Benutzern gewährt werden, die Aufgaben ausführen, die sich über Active Directory-Domänen erstrecken, oder bei Aktivitäten, für die höhere Berechtigungen erforderlich sind. Es empfiehlt sich, für Active Directory ein delegiertes Sicherheitsmodell in Betracht zu ziehen, insbesondere für allgemeine administrative Aufgaben, wie z. B. das Entsperren von Konten und Zurücksetzen von Passwörtern.

Schlechte Passwortrichtlinien

Bevor Sie die Anfälligkeit von Passwörtern an den schlechten Angewohnheiten von Nutzern festmachen, sollten Sie Ihre Richtlinien anhand der Compliance-Standards und bewährten Best Practices überprüfen. Da sich Best Practices für die Passwortsicherheit ständig ändern, ist die beste Methode, auf dem Laufenden zu bleiben, die Verwendung unseres gratis-Tools. Specops Password Auditor vergleicht die Passwortvorgaben in Ihrem Unternehmen mit den neuesten Richtlinien von NIST, PCI, Microsoft und SANS. Die Ergebnisse werden in Form eines interaktiven Berichts dargestellt, mit Empfehlungen, die Ihnen helfen, die Complicance-Vorgaben einzuhalten. Beim Authentifizierungsszenario geht es natürlich nicht nur um Sicherheit, sondern auch um die Nutzererfahrung. Unsere Empfehlungen vereinfachen das Erstellen von Passwörtern für die Nutzer und wälzen die Last mittels Passwortwörterbüchern und Passphrasen auf das Authentifizierungssystem ab.

Fehler lassen sich nicht gänzlich vermeiden, aber einige verursachen zu hohe Kosten, um sie ignorieren zu können. Wenn Sie Ihr Active Directory von inaktiven Konten freihalten, den Zugriff durch das Prinzip der geringsten Berechtigung einschränken sowie Ihre Passwortrichtlinien an Best Practices anpassen, können Sie Sicherheitsrisiken deutlich besser vermeiden.

Herunterladen Specops Password Auditor

  • Was this Helpful ?
  • Yes   No
Back to Blog

© 2019 Specops Software. All rights reserved. Privacy and Data Policy