G 3.49 Fehlerhafte Konfiguration des Active Directory

Die Windows-Server-Betriebssysteme ab Windows 2000 Server gestatten die Delegation einzelner administrativer Rechte - auch für Teilbereiche des Active Directory - an bestimmte Benutzer. Diese Delegation erfolgt durch die Vergabe detaillierter Einzelberechtigungen im Active Directory.

Durch die hohe Komplexität der Rechtevergabe im Active Directory, wie beispielsweise die Vergabe zahlreicher spezifischer Einzelberechtigungen für einzelne Objekttypen oder die Vererbung von Berechtigungen, kann es geschehen, dass

Die Gefahr des unberechtigten Zugriffs bei Fehlkonfiguration der Active-Directory-Zugriffsrechte erhöht sich insbesondere dadurch, dass mehrere Zugriffsschnittstellen auf das Active Directory existieren, z. B. Active Directory Service Interfaces ( ADSI ) oder LDAP .

Werden Vertrauensstellungen zwischen Domänen eingerichtet, so können Benutzer einer Domäne auf Ressourcen einer anderen Domäne zugreifen. Daher kann eine mangelnde Planung von Vertrauensbeziehungen zwischen Domänen zu unerwünschten Zugriffsrechten auf die Ressourcen einer Domäne führen.

Besonders kritisch können Handlungen sein, die die Datenbankstruktur des Active Directory ändern:

Damit eine sichere Konfiguration des Active Directory auch im laufenden Betrieb sichergestellt werden kann, müssen sicherheitsrelevante Konfigurationsänderungen nicht nur sorgfältig geplant, sondern auch protokolliert werden. Werden Domänen-Controller ohne ausreichende Protokollierung betrieben, so besteht die Gefahr, dass unautorisierte, sicherheitsrelevante Konfigurationsänderungen nicht erkannt werden und nicht rechtzeitig korrigiert werden können.