M 4.316 Überwachung der Active Directory Infrastruktur

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator

Der Sicherheitsstatus der Active Directory Infrastruktur wird über die Protokollierung der systemeigenen Ereignisse überwacht und bewertet. Die Protokolltiefe ist den jeweiligen Anforderungen anzupassen und sollte kontinuierlich überwacht werden.

Die Protokolldaten sollten regelmäßig ausgewertet werden. Zur Kontrolle sollten sie des Weiteren zusätzlich mit einem Referenzwert verglichen werden, der sich beispielsweise aus früheren Daten ermitteln lässt.

Active Directory

Die Auswertung der bei der Überwachung erzeugten Protokolldaten, kann, in Abhängigkeit von deren Umfang, manuell oder mit der Hilfe spezieller Überwachungssoftware erfolgen. In großen Active Directory Strukturen kann normalerweise eine rein manuelle Auswertung der Überwachungsdaten nicht mehr realisiert werden.

Die Ergebnisse der Sicherheitsüberwachung sollten in regelmäßig erstellten Berichten zusammengefasst und ausgewertet werden, damit grundlegende Sicherheitsprobleme frühzeitig erkannt und behoben werden können.

Bei der Protokollierung können auch Sicherheitswarnungen auftreten, auf die sofort reagiert werden muss, so wie es im Notfallplan (siehe auch M 6.106 Erstellung eines Notfallplans für den Ausfall eines Verzeichnisdienstes) des Unternehmens bzw. der Behörde vorgesehen ist.

Es können grundsätzlich zwei Methoden angewandt werden, um Änderungen an sicherheitsrelevanten Konfigurationsparametern des Domänen-Controllers bzw. des Active Directory zu erkennen. Zum einen ist dies die Ereignisbenachrichtigung, zum anderen sind das Trendanalysen.

Für die Ereignisbenachrichtigung werden so genannte Schwellen- oder Grenzwerte für Änderungen von Konfigurationsparametern im Active Directory oder am Domänen-Controller selbst definiert. Wird ein Konfigurationsparameter abgeändert und somit ein zuvor definierter Grenzwert überschritten, so wird dieses Ereignis vom Betriebssystem protokolliert.

Im Rahmen der Trendanalyse werden festgelegte Parameter über einen längeren Zeitraum in regelmäßigen Abständen erfasst. Werden bei der Auswertung dieser Daten extreme Änderungen bemerkt, so könnte das auf sicherheitsrelevante Vorfälle hindeuten. Wird beispielsweise der freie Festplattenspeicherplatz in regelmäßigen Abständen (z. B. alle 5 Minuten) erfasst und ein dramatischer Anstieg des Verbrauches von Festplattenspeicher bemerkt, so kann das auf einen Denial-of-Service-Angriff (DoS-Angriff) gegen den Domänen-Controller hinweisen.

Änderungen des Domänen-Controller Status

Änderungen an den Domänen-Controllern können die Sicherheit des Active Directory beeinflussen. Daher sollten mindestens die Bereiche Verfügbarkeit und Systemressourcen der Domänen-Controller überwacht werden:

Die Verfügbarkeit von Domänen-Controllern kann auf verschiedene Weise überwacht werden. Denkbar ist beispielsweise der Einsatz spezieller Überwachungssoftware. Alternativ können jedoch auch regelmäßige LDAP-Anfragen an die Domänen-Controller geschickt werden. Dabei kann mit dieser Methode nicht nur bestimmt werden, ob der entsprechende Domänen-Controller aktiv ist (der Test-Client erhält eine Antwort), sondern zusätzlich können aus der Antwortzeit auch Rückschlüsse auf die Systemauslastung des Domänen-Controllers gezogen werden.

Es ist außerdem sicherzustellen, dass Neustarts der Domänen-Controller erkannt werden, da ein nicht autorisierter Neustart von Domänen-Controllern auf einen Angriff hindeuten kann. Dementsprechend sind die Systemereignisprotokolle aller Domänen-Controller in einer Institution auf unautorisierte Systemneustarts zu untersuchen.

Zusätzlich zur direkten Verfügbarkeit von Domänen-Controllern sollten auch die Systemressourcen der Domänen-Controller überwacht werden. Eine Änderung der Systemressourcen muss nicht zwangsläufig auf einen Angriff hindeuten. Vielmehr kann die Ursache auch technischer Natur sein, z. B. Fehlkonfiguration oder Verwendung veralteter Hardware bei wachsenden Active-Directory-Strukturen.

Folgende Systemressourcen sollten auf allen Domänen-Controllern in einer Institution überwacht und bei Auffälligkeiten geeignete Gegenmaßnahmen ergriffen werden:

Änderungen im Active Directory

Werden Änderungen auf Domänenebene durchgeführt, so wirken sich diese meist auf alle Domänen-Controller, Mitgliedsserver, Benutzer und Arbeitsstationen aus. Folgende Änderungen sind in diesem Zusammenhang denkbar:

Werden Änderungen durchgeführt, die sich auf die gesamte Active-Directory-Struktur, z. B. alle definierten Domänen, der Organisation oder der Behörde auswirken, so spricht man von Änderungen an der Gesamtstruktur. Änderungen an der Gesamtstruktur umfassen folgende Ereignisse:

Alle zuvor genannten Änderungsereignisse, sowohl auf Ebene einzelner Domänen, als auch in Bezug auf die Gesamtstruktur, sollten auf allen Domänen-Controllern einer Institution überwacht und ausgewertet werden. Wird bei der Auswertung der Sicherheitsüberwachungsprotokolle eines Domänen-Controller eine nicht autorisierte Änderung festgestellt, so sind entsprechende Notfallmaßnahmen einzuleiten (siehe auch M 6.106 Erstellung eines Notfallplans für den Ausfall eines Verzeichnisdienstes).

Bei einigen Ereignissen ist aus den Protokolldateien nicht ersichtlich welche Objekte oder Attribute geändert wurden. Daher ist das Schema des Active Directory zu dokumentieren, damit Änderungen später gegebenenfalls durch manuellen Abgleich identifiziert und behoben werden können.

Kann die vollständige Behebung unautorisierter Änderungen im Active Directory nicht sichergestellt werden, so ist die Wiederherstellung der Gesamtstruktur in Erwägung zu ziehen.

In der Gruppe "Dienst-Admins" ist die Erstellung, Löschung und Änderung von Benutzerkonten in der Dienste-Administratorgruppe zu überwachen. Darüber hinaus sollte ein Hinzufügen oder Löschen von Administratorarbeitsstationen in der Organisationseinheit "Dienst-Admins" überwacht werden.

Wenn der Speicherplatz auf dem Domänen-Controller für die Active-Directory-Datenbank erschöpft ist, können keine neuen Objekte im Active Directory mehr angelegt werden. Daher sollte der Speicherplatz, der von Active-Directory-Objekten verwendet wird, kontinuierlich überwacht werden.

Mit einer derartigen Überwachung kann nicht nur der zur Neige gehende Speicherplatz für die Active-Directory-Datenbank verfolgt werden, sondern es können auch Objektüberflutungsangriffe erkannt werden, bei denen der Speicherplatzbedarf in vergleichsweise kurzer Zeit dramatisch ansteigt.

Für ein schnelles Eingreifen bei einem Objektüberflutungsangriff kann auf den Domänen-Controllern eine Reservedatei beliebiger Größe angelegt werden. Im Fall eines Speicherplatzangriffs kann die Reservedatei auf den betroffenen Domänen-Controllern gelöscht werden, um kurzfristig freien Speicherplatz zu schaffen und so den normalen Betrieb zu sichern.

Im Nachgang müssen die unerwünschten Objekte des Angriffs im ActiveDirectory ermittelt und entfernt werden.

Änderungen an kritischen Dateien

Sowohl auf den Domänen-Controllern selbst, als auch an den Administrationsarbeitsplätzen sollte eine Überwachung eingerichtet werden, mit der eine Veränderung an kritischen Dateien erkannt werden kann. Dabei sollten mindestens die Dateien überwacht werden, die zur Konfiguration des Betriebssystems oder der installierten Anwendungen verwendet werden. Darüber hinaus sollten wichtige ausführbare Dateien, z. B. Administrationswerkzeuge auf den Administratorarbeitsplätzen, ebenfalls auf Änderungen überwacht werden.

Für die Überwachung der Systemkonfiguration muss zunächst eine geeignete Software ausgewählt werden. Anschließend sollte eine vertrauenswürdige Basiskonfiguration der zu überwachenden Betriebssysteme erstellt werden.

Mit Hilfe der Überwachungssoftware wird auf Basis dieser Konfiguration ein Referenzabbild erstellt, das als Grundlage für zukünftige Überprüfungen verwendet wird. In regelmäßigen Abständen ist zu überprüfen, ob sich die aktuelle Konfiguration der Domänen-Controller oder Administratoren-Arbeitsplätze im Vergleich zur Referenzkonfiguration geändert hat. Werden Änderungen festgestellt, so ist der ursprüngliche Systemzustand schnellstmöglich wieder herzustellen.

Prüffragen: