Mehr Sicherheit für Ihr Active Directory durch einen regelmäßigen Health Check
Die Bedrohungen aus dem Internet steigen von Tag zu Tag, werden raffinierter und komplexer. Die IT-Abteilung vieler Unternehmen steht daher vor der großen Herausforderung, die Sicherheit in der IT-Infrastruktur generell zu bewahren und insbesondere in der Active Directory (AD)-Umgebung als zentralen Verzeichnisdienst zu gewährleisten. Über die Jahre wächst die Benutzerverwaltung, es sammeln sich Altlasten und veraltete Konfigurationen an – eine manuelle Prüfung aller Einstellungen ist nahezu unmöglich. Zudem besteht oft Unsicherheit darüber, ob Sicherheitsrichtlinien und Protokolle überhaupt noch den aktuellen Standards entsprechen.
Die Lösung: Das Acitve Directory und Entra ID Security Assessment von conova
Zur Überprüfung der lokalen Active Directory sowie Entra ID Einstellungen und dem Finden von Sicherheitslücken bietet conova ihren Kund:innen einen Security Assessment Service an.
Wir können Unternehmen über normale Standardauswertungen hinaus umfassendere und ausführlichere Stärken-Schwächen-Reports (Maturity-Level und MITRE ATT&CK Darstellung) generieren und damit auf Security Issues hinweisen. Nach Erstellung und Analyse der Berichte, besprechen die conova Spezialisten im Rahmen einer persönlichen Beratung die Ergebnisse mit Ihnen im Detail und liefern Ihnen gezielte Optimierungsvorschläge und Empfehlungen.
Best Practice – Kundenstatement
„Unser Kundenbetreuer hat uns im Zuge der Migration unserer IT zu conova die Überprüfung des Active Directory empfohlen. Wir waren überrascht, wie tief das Tool in das AD eintaucht und dadurch auch veraltete Einstellungen gefunden hat. Ohne dieses Tool wären diese Konfigurationen und Schwachstellen nur schwer bis gar nicht auffindbar gewesen“, zeigt sich einer unserer Kunden zufrieden. „Die Ergebnisse und Berichte haben uns gezeigt, dass es sinnvoll ist, eine Art „Routinekontrolle“ zu etablieren. Daher haben wir uns für den regelmäßigen Health Check unseres Active Directory samt professioneller Beratung durch conova entschieden“, erklärt er weiter. „Die monatlichen Reports zeigen, wo Optimierungspotenzial besteht, um die Sicherheit im Unternehmen hochzuhalten.“
Unsere Kund:innen schätzen, dass beim Active Directory bzw. Microsoft Entra ID Health Check die gesamte Konfiguration gescannt und Passwortregeln überprüft werden. Dazu zählen beispielsweise in Gruppenrichtlinien (GPOs) enthaltene Passwörter oder Settings, die auf den Domain-Admin angewendet werden, jedoch von Standard-Usern (nicht Domain Admins) bearbeitet werden können sowie definierte Rollen und Funktionen.
In der Praxis hat sich gezeigt, dass oftmals inaktive Objekte, veraltete Protokolle oder andere Sicherheitslücken bzw. Schwachstellen gefunden werden, wie zum Beispiel:
NTLM v1 ist aktiviert. NTLM (Windows New Technology LAN Manager) ist ein Sicherheitsprotokoll von Microsoft.
ACHTUNG: Die v1 gilt jedoch als veraltet und wird aktuell nicht mehr verwendet.
EMPFEHLUNG: Hier empfehlen wir auf eine neuere Protokoll-Version zu wechseln.
Print Spooler ist aktiviert: Der Drucker Spooler wird dazu verwendet, den Speicherplatz eines Druckers virtuell zu vergrößern.
ACHTUNG: Angreifer haben dadurch die Möglichkeit, Zugriff auf den Server zu erhalten (Stichwort Print Nightmare).
EMPFEHLUNG: Diese Standardeinstellung deaktivieren.
Nicht-Admins können Computer zur Domäne hinzufügen. Die Standardeinstellungen sehen vor, dass User ohne Admin-Rechte unbemerkt bis zu 10 Computer hinzufügen können.
ACHTUNG: Das Hinzufügen sollte rein über Admin-Rechte erfolgen.
EMPFEHLUNG: Diese Standardeinstellung deaktivieren.
Mehr als nur ein Report
Mit dem generierten Report allein ist es nicht getan. Würde man alle aufgezeigten Empfehlungen im Zuge der Active Directory Analyse einfach umsetzen, würde ein Arbeiten kaum mehr möglich sein. Daher gehen wir diese mit unseren Kund:innen systematisch unter Berücksichtigung der gesamten Infrastruktur durch. Gerade bei einer managed Infrastruktur kennen wir die Zusammenhänge der einzelnen IT-Services und können einen möglichen negativen Impact durch Konfigurationsänderungen minimieren.
Wir kommunizieren klar, welche Settings wir als conova setzen würden und von welchen Anpassungen wir abraten. Sobald die Konfiguration des AD angepasst wurde, starten wir einen zweiten Scan. Auch danach setzen wir uns mit den Kund:innen zusammen und besprechen die Unterschiede zum ersten Durchlauf.
Balance zwischen Must-Have und Nice-to-Have
Die langjährige Erfahrung der conova Mitarbeiter:innen zeigt, dass bei der Umsetzung Fingerspitzengefühl gefragt ist, um die Balance zwischen zwingend erforderlichen Anpassungen und jenen Konfigurationen zu finden, die einen negativen Impact auf die Funktionsweise der IT-Infrastruktur haben könnten.
Bei einem unserer Kund:innen waren spezielle Drucker im Einsatz, die nicht mit neueren Sicherheitsprotokollen kompatibel sind. Hier gilt es dann abzuwiegen, ob das Risiko von älteren Versionen in Kauf genommen wird, oder ob es Änderungen der Hardware geben muss.
Mehr als nur ein Report
Mit dem generierten Report allein ist es nicht getan. Würde man alle aufgezeigten Empfehlungen im Zuge der Active Directory Analyse einfach umsetzen, würde ein Arbeiten kaum mehr möglich sein. Daher gehen wir diese mit unseren Kund:innen systematisch unter Berücksichtigung der gesamten Infrastruktur durch. Gerade bei einer managed Infrastruktur kennen wir die Zusammenhänge der einzelnen IT-Services und können einen möglichen negativen Impact durch Konfigurationsänderungen minimieren.
Wir kommunizieren klar, welche Settings wir als conova setzen würden und von welchen Anpassungen wir abraten. Sobald die Konfiguration des AD angepasst wurde, starten wir einen zweiten Scan. Auch danach setzen wir uns mit den Kund:innen zusammen und besprechen die Unterschiede zum ersten Durchlauf.
Balance zwischen Must-Have und Nice-to-Have
Die langjährige Erfahrung der conova Mitarbeiter:innen zeigt, dass bei der Umsetzung Fingerspitzengefühl gefragt ist, um die Balance zwischen zwingend erforderlichen Anpassungen und jenen Konfigurationen zu finden, die einen negativen Impact auf die Funktionsweise der IT-Infrastruktur haben könnten.
Bei einem unserer Kund:innen waren spezielle Drucker im Einsatz, die nicht mit neueren Sicherheitsprotokollen kompatibel sind. Hier gilt es dann abzuwiegen, ob das Risiko von älteren Versionen in Kauf genommen wird, oder ob es Änderungen der Hardware geben muss.
Regelmäßige Health Checks
Die eingesetzten Tools werden laufend weiterentwickelt und an aktuelle Gefahren angepasst. Gleichzeitig ändern sich auch die User, Devices und deren Rechte im Unternehmen im Laufe der Zeit. Daher empfehlen wir, das Security Assessment regelmäßig zu absolvieren, um die Security Baseline kontinuierlich zu verbessern, die Benutzerverwaltung aktuell zu halten und Altlasten zu beheben.
conova bietet den Stärken-Schwächen-Report als einmaligen oder auch als monatliches Service an.
Sie benötigen detailliertere Informationen oder haben Interesse an einem unverbindlichen Beratungsgespräch? Wir beraten Sie gerne.
Kontaktieren Sie uns: