Um die Sicherheit und Stabilität einer IT-Umgebung zu gewährleisten, sollte das Active Directory regelmäßig überprüft und bereinigt werden. Nicht mehr benötigten Computer- und Benutzerkonten sind Ballast für Domänen-Controller und gleichzeitig gefährliche Einfallstore für Angreifer.
Mindestens einmal im Monat sollten sich Administratoren das Active Directory (AD) der beaufsichtigten IT-Infrastruktur untersuchen und nicht mehr benötigte Computer- und Nutzerkonten deaktivieren oder löschen. Neben diesen Objekten sollten auch weitere Objekte aus dem AD entfernt werden, wenn sie nicht mehr benötigt werden.
Erster Überblick in Sachen AD-Sicherheit
Um einen ersten Check der Umgebung durchzuführen, lassen sich mit dem Tool „PingCastle“ Sicherheitslücken im AD auffinden. Das Tool läuft in der Befehlszeile und die Ausführung kann auf Windows-Arbeitsstationen genauso erfolgen, wie auf Domänen-Controllern. Zum Abschluss erstellt das Tool eine HTML-Datei, die sich mit einem Browser öffnen lässt und aufzeigt, wo Sicherheitsgefahren lauern, die zu beheben sind. Bestandteil des Tools ist eine PDF-Datei, die weitere Informationen zu den Optionen bietet.
Ungenutzte Konten
Deaktivierte Konten, die schon länger nicht mehr im Einsatz sind, sollten unbedingt gelöscht werden. Solche Konten stellen eine Gefahr für die Sicherheit dar, weil sie von Angreifern unbemerkt übernommen werden können. Außerdem stellen nicht mehr benötigte Objekte eine Belastung für Domänen-Controller und Datensicherung dar. Die Verwaltung und schnelle Identifizierung von inaktiven Computern und Nutzern lässt sich mit dem Tool „PowerShell“ bewerkstelligen, das zu den Bordmitteln jedes Rechners gehört.
Inaktive Konten und Gruppen
Mit dem Tool “Last Logon Finder”, mit dem sich die Anmeldedaten der Nutzer auslesen lassen, wird für Administratoren ersichtlich, welche Konten nicht mehr aktiv im Einsatz sind. Auch Tools wie „ManageEngine ADManager Plus“ sind eine Hilfe, um das AD von nicht mehr benötigten Objekten zu befreien – die Bereinigung kann sogar automatisiert erfolgen.
Neben Benutzer- und Computerkonten sollten auch leere Gruppen entfernt werden, wenn sie nicht mehr im Einsatz sind. Sie stellen nur ein Sicherheitsrisiko und einen Ballast für Domänen-Controller dar.
Nicht mehr benötigte Gruppenrichtlinien
Bei dieser Gelegenheit sollten auch die nicht mehr benötigten Gruppenrichtlinien aus dem AD entfernt werden, wenn sie nicht mehr eingesetzt werden. Ob Gruppenrichtlinien noch mit einer OU oder der Domäne verknüpft sind, lässt sich über die Gruppenrichtlinienverwaltung in Erfahrung bringen. Bei „Gruppenrichtlinienobjekte” sind die vorhandenen Richtlinien zu sehen. Nicht mehr benötigte Richtlinien können über das Kontextmenü gesichert und danach aus dem AD entfernt werden.
Bereinigung von AD und Entfernen von Domänen-Controllern
Manchmal ist der Aufwand einen Fehler zu beheben aufwändiger, als den betroffenen Domänen-Controller einfach neu zu installieren und wieder ins AD zu integrieren. Durch die erneute Integration erhält der Domänen-Controller wieder die Daten von den anderen Domänen-Controllern der Domäne. Häufig passiert es, dass Domänen-Controller entfernt werden, sich aber noch Restdaten im AD befinden. Auch diese Datenreste sollten unbedingt aus dem Netzwerk entfernt werden. Die Metadaten vom AD enthalten alle Einträge und Server-Namen, die zum AD gehören. Wenn ein Domänen-Controller ausfällt oder erzwungen aus dem AD entfernt wird, sollten die Metadaten nachträglich bereinigt werden.
08.07.2022
