Flexible Security for Your Peace of Mind

10 Tipps für mehr Sicherheit bei Active Directory-Dienstkonten

Microsoft Active Directory ist wohl eine der am meisten angegriffenen on-premise-Komponenten Ihres Netzwerkes. Der Grund dafür ist, dass es alle „Schlüssel zum Königreich“ verwaltet. Alle identitätsbezogenen Daten in lokalen und sogar in hybriden Cloud-Umgebungen stammen aus Active Directory. Vor allem bestimmte Arten von Konten ziehen immer wieder die Aufmerksamkeit von Hackern auf sich.

Es gibt eine Reihe von Privilegien und Rollen, die Windows-Benutzern gewährt werden. Oft ist es jedoch notwendig, neben den klassischen Benutzerkonten noch spezielle Konten, so genannte Dienstkonten (oder Service Accounts), mit entsprechenden Berechtigungen auszustatten. Diese Active Directory-Konten sind tiefer in der Infrastruktur der Organisation verankert und kümmern sich um die Integration von Anwendungen und zentralen Services, was sie zu besonders interessanten Angriffszielen macht.  

Für die Sicherheit dieser Konten sind zwei Dinge von entscheidender Bedeutung: Die Konten müssen zuverlässig abgesichert, und deren Aufgabenbereiche müssen genau definiert sein. In diesem Beitrag gehen wir auf diese Anforderungen ein. Wir werden die drei Arten von Active Directory-Dienstkonten aufschlüsseln und zehn Best Practices zu deren Schutz vorstellen. 

Was sind Dienstkonten in Active Directory?

Active Directory-Dienstkonten sind spezielle Konten, die im Gegensatz zu normalen Benutzerkonten nicht für die Anmeldung über Servern oder Clients gedacht sind. Stattdessen werden sie für die Ausführung von Diensten auf Windows-Servern und für spezielle Funktionen im Zusammenhang mit Anwendungen verwendet.

In Active Directory sind die Berechtigungen innerhalb des Netzwerkes an Benutzer- und Computerkonten gebunden. Das Servicekonto spielt also die besondere Rolle, ein Objekt zu haben, an das Berechtigungen geknüpft sind, damit sich Anwendungen erfolgreich an der Active Directory-Domain authentifizieren können.

Da für die Ausführung bestimmter Anwendungen oftmals bestimmte Zugriffsrechte erforderlich sind, werden diese Konten häufig von Angreifern ins Visier genommen, die wissen, dass sie, wenn sie ein Dienstkonto kompromittieren können, wahrscheinlich über ein Konto mit sehr umfassenden Berechtigungen verfügen.

Die Typen von Dienstkonten

Vor der Verwaltung und Sicherung von Dienstkonten in Active Directory ist es wichtig, sich mit den einzelnen Typen dieser Konten vertraut zu machen. 

  • Local User Accounts (Lokale Benutzerkonten): Dazu gehören Konten wie das Systemkonto (lokale Verwaltung mit mehreren Berechtigungen), das Lokale Dienstkonto (Zugriff auf Netzwerkdienste ohne Anmeldeinformationen) und das Netzwerkdienstkonto (robusterer Zugriff auf Netzwerkdienste mit Anmeldeinformationen).
  • Domain User Accounts: werden über Active Directory verwaltet und von den Diensten genutzt. Dazu kann ein Konto pro Dienst gehören oder ein Konto, das von vielen Diensten gemeinsam genutzt wird. Die Kennwörter müssen regelmäßig geändert werden, und die Konten sind auf die von den jeweiligen Diensten festgelegten Berechtigungen beschränkt.
  • Verwaltete Dienstkonten (Managed Service Accounts, MSAs): Sie unterliegen den Regeln von Active Directory, und jedes Konto kann nur einen Benutzer pro Computer haben. Jedes Konto kann jedoch (je nach Wunsch) auf mehrere Dienste zugreifen, und das Zurücksetzen von Kennwörtern wird automatisch durchgeführt.  
  • gMSAs („Group Managed Service Accounts“): Hierbei handelt es sich um ähnliche Objekttypen wie bei den MSAs, die jedoch eher für den Einsatz auf mehreren Servern oder Diensten konzipiert sind. Dies gewährleistet eine skalierbare Lösung, die auch sicher ist.

Managed Service Accounts sind in der Regel die sichersten von allen. Sie profitieren von den strengen Berechtigungskontrollen, die über Active Directory möglich sind, von der effektiven Durchsetzung der rollenbasierten Zugriffskontrolle (RBAC) und von Wartungsautomatisierungen. Dazu gehören in der Regel Kennwortänderungen und geplante PowerShell-Aufgaben.  

Darüber hinaus übertreffen die Kennwörter von Managed Accounts die Kennwörter von Domänenkonten und lokalen Konten mit einer Länge von 120 komplexen Zeichen bei weitem. Kennwörter für Domain- Accounts müssen mindestens 15 Zeichen lang sein, während lokale Accounts 1 bis 14 Zeichen enthalten. Für lokale Benutzerkonten sind unter Umständen nicht einmal Passwörter erforderlich! 

MSAs können auch eigenständig (seit 2008) oder gruppenbezogen sein; letzteres funktioniert über mehrere Server hinweg, anstatt nur über einen Server oder ein Gerät.  Wie der Name schon sagt, sind lokale Benutzerkonten auf die Ausführung auf dem jeweiligen Rechner beschränkt. Versuchen Sie, auf einen domänenbasierten Dienst zuzugreifen? Dies ist am besten für Domänenkonten und MSAs reserviert. Wir können Dienste unter diesen verbundenen Konten erstellen und die Benutzer entsprechend zuweisen. Lokale Konten sind für externe Systeme nicht identifizierbar, weshalb sie außerhalb ihrer jeweiligen Zone wenig Nutzen haben.  

Da es sich bei Dienstkonten in der Regel um hochrangige Konten mit einer Vielzahl von Berechtigungen handelt, müssen diese Konten um jeden Preis geschützt werden. Im Folgenden werden einige bewährte Verfahren zum Schutz von Active Directory-Dienstkonten und Tipps zum Schutz dieser hochgradig gefährdeten Objekte vorgestellt.

Zehn Best Practices zum Schutz von Active Directory-Dienstkonten

Wenn es um Sicherheit und Kontrolle geht, scheiden sich stets die Geister. Es gibt jedoch eine Reihe von Praktiken, die die meisten Fachleute bei der Verwaltung von Dienstkonten für zweckmäßig halten. Diese Grundsätze sind zur Verbesserung der Sicherheit und zur Vereinfachung der Verwaltung hilfreich. 

1. Privilegien sparsam vergeben

Eines der ersten Dinge, an die man bei Dienstkonten denken sollte, ist die Anwendung des „Least Privilege“-Prinzips. Wie alle anderen Benutzerkonten sollten auch Dienstkonten nur über die Mindestmenge an Berechtigungen verfügen, die für die Ausführung der jeweiligen Aufgabe unbedingt erforderlich sind. Wenn Administratoren Dienstkonten mit sehr weitreichenden Privilegien und Berechtigungen ausstatten, z. B. als Domänenadministrator oder Unternehmensadministrator, kann dies sehr gefährlich sein. Wenn ein Angreifer ein Dienstkonto kompromittiert, hat er nun alles, was er braucht, um die Domäne zu „ beherrschen “ und sich Persistenz zu verschaffen.

Anstatt riskante Gruppenberechtigungen auf Dienstkonten anzuwenden, wie z. B. Domänenadministratoren, sollten Sie nur sehr granulare Berechtigungen auf das erforderliche Dienstkonto anwenden. Diese Vorgehensweise begrenzt den Schaden, falls das Dienstkonto kompromittiert wird.

Wir wissen, dass die AD-Dienstkonten dazu da sind, bestimmte Aufgaben zu erfüllen. Unsere Aufgabe sollte darin bestehen, die Hindernisse für die Ausführung dieser Workloads zu beseitigen, und zwar nur mit den dafür erforderlichen Mindestberechtigungen. Genauso wie Mitarbeiter nur auf bestimmte Remote-Ressourcen zugreifen können, um ihre Arbeit zu erledigen, sollten Dienstkonten nur auf die wichtigsten Ebenen eines Betriebssystems, Dateisystems, Netzwerks oder Dienstes zugreifen. Dies geht Hand in Hand mit Authentifizierung und Autorisierung. Glücklicherweise gibt uns Active Directory die Möglichkeit, den Zugriff von Fall zu Fall zu erhöhen und herabzustufen. Denn es ist unwahrscheinlich, dass wir Remote- Nutzern die uneingeschränkte Kontrolle über ein System gewähren wollen. Das würde die Tür für Missbrauch oder unerwünschte Zwischenfälle öffnen. 

2. Verwenden Sie Managed Service Accounts (MSAs) und Group Managed Service Accounts (gMSAs)

Die spezialisierten Dienstkonten, einschließlich Managed Service Accounts (MSAs) und Group Managed Service Accounts (gMSAs), sind viel besser zu handhaben als herkömmliche Benutzerkonten. Sie bieten zusätzliche Sicherheitsvorteile. Mit MSAs und gMSAs haben Sie die Möglichkeit, Passwörter automatisch zu ändern und diese automatisch rotieren zu lassen, so dass Sie sich nicht manuell um die Änderungen kümmern müssen.

Diese Konten sind aus Sicherheitsgründen von Anfang an besser geeignet, da sie nicht für interaktive Logins oder andere nicht dienstbezogene Zwecke verwendet werden können.

3. Durchführung regelmäßiger Audits

Dienstkonten sind eines der wichtigsten zu überwachenden Objekte in Active Directory, da sie zu den Konten gehören, die von Angreifern am häufigsten angegriffen werden. Die Überwachung von Dienstkonten und ihrer Verwendung kann dazu beitragen, verdächtiges Verhalten zu erkennen, z. B. wenn das Dienstkonto für den RDP-Zugriff verwendet oder auf Servern aufgerufen wird, auf denen es nicht verwendet werden sollte, oder gar von einer Workstation aus.

Audits tragen direkt zu den oben genannten Punkten bei. Es ist wichtig, alle Dienstkonten und Aktivitätsprotokolle regelmäßig zu überprüfen. Wir wollen wissen, was die Benutzer tun, welche Berechtigungen sie haben und ob irgendwelche Berechtigungen gegen vorgegebene Sicherheitsrichtlinien verstoßen. Audits können so verdächtige Aktivitäten aufdecken oder Schwachstellen finden, entweder passiv oder aktiv.  

Active Directory verfügt über integrierte Audits, die Anmeldevorgänge, Kontoänderungen und andere Arten von Aktivitäten verfolgen können. Diese sind jedoch nicht sehr benutzerfreundlich, wenn nicht ein Tool eines Drittanbieters zur Verfügung steht, mit dessen Hilfe diese Überprüfungsereignisse zusammengefasst werden können und das Ihnen einen Einblick in das, was Sie sehen, gewährt. Tools von Drittanbietern können so konfiguriert werden, dass sie bei verdächtigen Verhaltensweisen oder Audit-Ereignissen, die darauf hindeuten, dass jemand versucht, die Umgebung zu kompromittieren, Warnungen ausgeben.

4. Strenge Passwortrichtlinien für Serviceaccounts

Das Kennwort ist einer der wichtigsten Sicherheitsfaktoren für ein Konto. Die Durchsetzung starker Kennwortrichtlinien ist daher äußerst wichtig, um sicherzustellen, dass Dienstkonten über Kennwörter verfügen, die schwer zu kompromittieren sind. Bei den MSAs und gMSAs wird die Passwortverwaltung für Sie übernommen. Starke Kennwortrichtlinien in allen Bereichen, einschließlich der Benutzerkonten, tragen jedoch zur Verbesserung der allgemeinen Sicherheit Ihrer Active Directory Domain Services (AD DS)-Umgebung bei.

Erwägen Sie die Verwendung von Kennwortrichtlinien, die Folgendes erzwingen:

  • Lange und komplexe Passwörter mit mindestens 16 Zeichen und einer Mischung aus Buchstaben, Zahlen und Sonderzeichen – Passphrasen sind ebenfalls eine gute Möglichkeit, einprägsame und dennoch sichere Passwörter zu erstellen
  • Regelmäßige Änderung von Passwörtern und Vermeidung von fest programmierten oder wiederverwendeten Passwörtern
  • Verwendung von Passwort-Managern zum Speichern und Verwalten von manuell gepflegten Zugangsdaten für Dienstkonten

5. Schränken Sie die Nutzung von Servicekonten ein und kontrollieren Sie Zugriffe durch Drittanbieter

Servicekonten sollten niemals für interaktive Anmeldungen verwendet werden. Diese sind zweckgebunden und sollten nur für Dienste verwendet werden, die für die jeweiligen Services benötigt werden. Verwenden Sie daher auch nicht dasselbe Dienstkonto für mehrere Dienste. Durch die Erstellung eindeutiger Dienstkonten für jeden Dienst werden diese eindeutig und die Angriffsfläche wird eingeschränkt und überwachbar.

Es ist möglich, dass externe Anbieter bei der Fehlersuche Zugriff auf Dienstkonten benötigen. Zudem möchten wir einschränken, auf welche(n) Rechner ein Dienstkonto zugreifen kann. Ein guter Mittelweg für Lieferanten könnte die Einrichtung spezieller Third-Party-Dienstkonten sein, die Zugriff auf eine VM-Zwischenstelle haben. Von dort aus können sie auf die Zielsysteme zugreifen. 

6. Deaktivieren ungenutzter Dienstkonten

Die Verwaltung des Lebenszyklus von Active Directory-Dienstkonten ist äußerst wichtig. Wenn Dienstkonten in der Umgebung nicht mehr verwendet oder benötigt werden, sollten sie deaktiviert werden. Wenn nicht mehr benötigte Dienstkonten aktiv bleiben, wird dies schnell zu einem großen Sicherheitsrisiko, da diese Konten oft über hochrangige Zugriffsrechte verfügen, die von Angreifern ausgenutzt werden können. Sysadmins sollten routinemäßig nach veralteten oder ungenutzten Konten suchen und diese bereinigen.

Die Abfrage von Konten mit PowerShell, um Konten zu finden, die seit „X“ Tagen nicht mehr für die Anmeldung verwendet wurden, ist eine gute Möglichkeit, neben den normalen veralteten Konten auch inaktive oder veraltete Dienstkonten zu finden. Wenn Sie einen detaillierten Bericht über veraltete und ungenutzte Konten (sowie viele andere passwort- und kontenbezogene Schwachstellen) wünschen, können Sie einen Read-Only-Scan Ihres Active Directory mit unserem kostenlosen Auditing-Tool durchführen: Specops Password Auditor.

7. Trennen Sie Dienstkontenrollen

Die Trennung von Servicekonto-Rollen ist eine gute Möglichkeit, die Rollen und Berechtigungen zwischen den verschiedenen Servicekonto-Objekten aufzuteilen. Legen Sie Dienstkonten an, die nur für Applikationsdienste verwendet werden. Erstellen Sie dann separate Konten für Netzwerk-, Datenbank- und andere Diensttypen, die jeweils über eigene Konten verfügen. Diese Methode hilft, das Risiko zu verringern, dass ein einzelnes Konto kompromittiert wird, und begrenzt die damit verbundenen Ressourcen.

8. Verwenden Sie, wenn möglich, die Multi-Faktor-Authentifizierung (MFA)

Eine der besten Möglichkeiten, die Authentifizierungssicherheit zu erhöhen, besteht darin, den interaktiven Anmeldeprozess durch eine Multi-Faktor-Authentifizierung zu ergänzen. Zugegeben, Dienstkonten sollten nicht für interaktive Anmeldungen verwendet werden. Es kann jedoch Ausnahmefälle geben, in denen ein bestimmtes Dienstkonto für die Anmeldung verwendet werden muss. Stellen Sie in diesem Fall sicher, dass für das Konto die Multi-Faktor-Authentifizierung aktiviert ist.

Außerdem ist die Implementierung von MFA für alle Benutzerkonten eine gute Möglichkeit, die Sicherheit Ihrer Active Directory-Umgebung zu verbessern. Wenn die Sicherheit aller Benutzer erhöht wird, sinkt die Wahrscheinlichkeit, dass ein Dienstkonto kompromittiert wird, drastisch.

9. Verwenden Sie dedizierte Organisationseinheiten (OUs) für Dienstkonten

Die Organisation von Dienstkonten ist eine gute Möglichkeit, die Verwaltung und Sicherheit zu verbessern. Das Erstellen einer dedizierten Organisationseinheit (OU) in Active Directory für Dienstkonten hilft sicherzustellen, dass Sie Gruppenrichtlinien für alle Dienstkonten in der Umgebung einheitlich verwalten und anwenden können. Außerdem wird die Überwachung von Dienstkonten vereinfacht, wenn sie sich in derselben OU befinden.

10. Regelmäßige Überprüfung der Abhängigkeiten und des Zugriffs von Dienstkonten

Während die Zugriffsebene für ein Dienstkonto heute angemessen sein mag, können sich diese Anforderungen und Zugriffsebenen in Zukunft ändern. Überprüfen Sie regelmäßig die Abhängigkeiten von Dienstkonten und deren Zugriffsrechte, um sicherzustellen, dass diese Ebenen weiterhin benötigt werden und angemessen sind.

Ermitteln Sie außerdem, welche Anwendungen, Dienste oder Skripte das Dienstkonto benötigen, und stellen Sie sicher, dass diese Konten entsprechend konfiguriert und gesichert sind. Diese Schritte tragen dazu bei, unbefugten Zugriff zu verhindern und das Risiko zu vieler oder nicht benötigter Berechtigungen zu verringern.

Schützen Sie Ihre Active Directory Service-Accounts

Dienstkonten in Active Directory gehören zu den riskantesten Konten, wenn sie nicht richtig gesichert sind: Admins müssen sicherstellen, dass diese Konten ordnungsgemäß verwaltet und gesichert werden. Zu einer angemessenen Sicherheitsregelung für Dienstkonten gehören die häufige Überprüfung von Berechtigungen, die Überprüfung des Zugriffs und die Überwachung ihrer Verwendung, die Implementierung starker Kennwortrichtlinien, MFA und die Verwendung der speziellen MSA- und gMSA-Konten für Dienstkonten, wo dies möglich ist. Wenden Sie bei Ihren Servicekonten immer das Prinzip der geringsten Privilegien an und verwenden Sie dedizierte OUs und Gruppenrichtlinien für die Verwaltung und Sicherheit. Möchten Sie wissen, wie Specops Software Sie beim Schutz Ihrer Organisation vor Cyberangriffe unterstützen kann? Wir beraten Sie gerne!

Specops Secure Servicedesk Prozess Gif
Schützen Sie Ihren Helpdesk vor Social Engineering Angriffe – mit Specops Secure Service Desk!

(Zuletzt aktualisiert am 04/12/2024)

Zurück zum Blog