In jedem Betrieb gibt es sie, die Schatten-Admins. Nicht nur als Personen, sondern auch als Benutzer in Netzwerken und Servern. Daher ist es wichtig, sie zu identifizieren und zu wissen, welche Auswirkungen sie ausüben. Es reicht nicht aus, die privilegierten Benutzer und Gruppen zu überprüfen. Sie müssen zielgerichtet analysiert werden. Sie werden oft übersehen und können über hohe und sehr sensible Berechtigungen verfügen. Sie sind daher für Angreifer interessant und beliebt. Zu diesen zählen Domain-Accounts, lokale Accounts oder Application-Accounts. Unter diesen dreien sind sicherheitstechnisch die Domain-Accounts die kritischen, da über sie auch alle anderen Accounts missbräuchlich verwendet werden können.
Es ist unumgänglich, die ACLs (Access-Control-List) immer aktuell zu halten und richtig zu verwalten. Vielfach geistern veraltete Listen in den Betrieben rum und sorgen für hohe Verwirrung und Verunsicherung oder auch falsche Sicherheit.
Die Domaincontroller und die Active-Directory-Instanzen sind die zentralen Stellen in einem Firmennetzwerk. Das AD unterhält für jedes einzelne Objekt eigene Zugriffseinträge (ACEs = Access Control Entries) und diese sind Teil des ACL. Die Berechtigungen erstrecken sich von ‘lesen‘, ‘schreiben’ bis zu ‘erweiterten Rechten’ wie ‘User-Force-Change-Password’ welches das Zurücksetzen des Passwortes beinhaltet.
Auch Gruppen wie ‘Domain-Admins’ und deren Mitglieder oder eben auch Nichtmitglieder sind zu prüfen. Es ist nicht gesagt, dass ein Administrator diesen Gruppen beiwohnt, aber trotzdem über zu hohe Berechtigungen verfügt.
Ein Ansatz saubere Berechtigungsstrukturen durchzusetzen, ist AGDLP von Microsoft (account, global, domain local, permission). Konsequent eingesetzt mindert AGDLP, dass eine willkürliche Berechtigung ohne jede Logik gesetzt wird, weil eine klare Struktur dahinter liegt.
Auch wir setzen auf dieses mächtige und gut durchsetzbare Prinzip.
