M 4.315 Aufrechterhaltung der Betriebssicherheit von Active Directory

Verantwortlich für Initiierung: Fachverantwortliche, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die in der Produktivumgebung eingesetzten Domänen-Controller sind durch die Administratoren auf dem vorangegangen Sicherheitsniveau zu halten und bei erhöhten Anforderungen entsprechend anzupassen. Für Änderungen an den Systemen, welche sich unter anderem durch die regelmäßigen Wartungsarbeiten ergeben, sind im Vorfeld schriftlich niedergelegte Richtlinien zu entwickeln.

Eine regelmäßige Virenprüfung der Domänen-Controller ist für einen sicheren Betrieb unerlässlich und sollte entsprechend den jeweiligen Besonderheiten (siehe M 2.414 Computer-Viren-Schutz für Domänen-Controller , Abschnitt Kritische Dateien auf Domänen-Controllern) erfolgen.

Laufende Aktualisierung mit Service Packs und Hotfixes

Die Domänen-Controller sollten in regelmäßigen Abständen durch entsprechende Maßnahmen, wie z. B. Windows Update, Service Packs und Hotfixes, gegen neue Gefährdungen geschützt werden. Auch wenn solche Updates sicherheitskritische Lücken schließen und zeitnah in die bestehende Struktur zu integrieren sind, müssen die Aktualisierungen im Vorfeld in einer Testumgebung geprüft werden, um mögliche negative Seiteneffekte innerhalb der Produktivumgebung rechtzeitig zu erkennen.

Sicherheit der Dienste-Administratorkonten

Die Verantwortung zur Steuerung der Konfiguration und Funktionsweise des Verzeichnisdienstes ist nur zuverlässigen, vertrauenswürdigen Personen zu übertragen. Dieser Personenkreis muss mit den gültigen Sicherheitsrichtlinien der Institution vertraut sein und Bereitschaft demonstrieren, diese konsequent durchzusetzen.

Die Zugriffsrechte der Dienste-Administratoren sollten auf das für ihre Arbeiten notwendige Minimum reduziert und ausschließlich für Aufgaben genutzt werden, welche erhöhte Rechte voraussetzen. Um die berechtigte Notwendigkeit für Personen mit Dienste-Administratorrechten sicherzustellen, ist diese in regelmäßigen Abständen zu überprüfen und bei Bedarf entsprechend anzupassen. Auch ist die Mitgliederanzahl der Administratorenkonten auf einem notwendigen Minimum zu halten. Die Benutzung ausreichend starker Passwörter für die Konten der Administratorengruppen ist zwingend erforderlich. Es sollte überlegt werden, Verfahren zur starken Authentisierung zu verwenden, wie z. B. die zusätzliche Nutzung von Chipkarten zur Anmeldung am Betriebssystem.

Gewährleistung der Aktualität von Basisinformationen

Unter dem Begriff "Basisinformationen" werden die wichtigsten Konfigurationsparameter des Active Directory zusammengefasst. Die Basisinformationen sollten mindestens folgende Punkte beinhalten:

Mit Hilfe dokumentierter Basisinformationen ist eine Nachverfolgung und Überprüfung der am Active Directory durchgeführten Änderungen möglich. Die Basisinformationen sollten für alle Domänen-Controller in einer Basisdatenbank zusammengefasst werden. Diese Basisdatenbank bietet zusätzlich einen Überblick der aktuell eingesetzten Komponenten. Die Zuständigkeiten für die Pflege der Basisinformationen muss geklärt werden.

Prüffragen: